staybb
Goto Top

Windows Server zwei IP Adressen vergeben

Hallo Zusammen,

ich habe 4 Win 2019 Server welche zusätzlich in einem VPN Site2Site Tunnel zu dem Lieferanten der Software welche auf den Server installiert ist verbunden sind.

Das ganze sieht so aus, dass auf der Firewall ein Site2Site IPSec Tunnel existiert wo die 4 Server mit der dedizierten IP Adresse im VPN Routing hinterlegt sind. Zusätzlich werden die 4 IPs der Server auf der Firewall mit einem 1:1 NAT umgeschrieben, da es auf der Gegenseite das gleiche IP Subnetz ist.

Nun ist es so das die Windows Server keine Verbindung mehr zum Internet haben, da das ganze Routing durch den VPN Tunnel läuft und auf der Gegenseite der Traffic nach aussen geblockt wird.

Leider konnte ich das auf der Watchguard nirgendswo konfigurieren, das der Internet Traffic bei uns druchgeht für die 4 Windows Server. Auch der Netzwerkler konnte es nicht konfigurieren.

Nun ist meine Frage, ob es möglich ist das ich den 4 Servern eine zusätzliche IP Adresse vergebe, sodass diese wieder ins Internet dürfen.

Ne Internetverbindung braucht es für unseren neuen XDR Client, welcher mit dem Management Server im Internet kommuniziert.

Wisst ihr ob das geht ? Oder gibt das nur Probleme? Man kann ja einem Netzwerk Adapter eine zusätzliche IP Adresse geben aus dem selben Netz. Würde das gehen oder wie würdet ihr das lösen. Leider ist es firewalltechnisch gerade nicht anderst möglich.

Danke und Gruss
staybb

Content-Key: 5976070581

Url: https://administrator.de/contentid/5976070581

Printed on: February 25, 2024 at 11:02 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Feb 14, 2023 at 10:07:11 (UTC)
Goto Top
Moin,

das klingt nach einem komischen Netzwerker oder Firewall Admin.
Deaktiviere für den Tunnel das force Tunneling und schränke die Konfig auf nötige Subnetze ein oder richtige auf der Gegenseite entsprechende Regeln für den Outbreak ins Internet ein.

Dein Vorhaben mit der zweiten IP macht keinen Sinn.
Das wird auch jeder normale Netzwerker so sehen.

Gruß
Spirit
Member: Hubert.N
Hubert.N Feb 14, 2023 at 12:07:31 (UTC)
Goto Top
Moin

Zitat von @staybb:
Nun ist es so das die Windows Server keine Verbindung mehr zum Internet haben, da das ganze Routing durch den VPN Tunnel läuft und auf der Gegenseite der Traffic nach aussen geblockt wird.
Leider konnte ich das auf der Watchguard nirgendswo konfigurieren, das der Internet Traffic bei uns druchgeht für die 4 Windows Server. Auch der Netzwerkler konnte es nicht konfigurieren.

Ist zwar ne Weile her, dass ich mich mit WatchGuard beschäftigt habe, aber ich meine, dass dort per Default Split-Tunneling aktiviert ist. Soll also heißen: wenn das bei euch nicht so ist, dann hat da jemand explizit konfiguriert, dass der gesamte Traffic durch den Tunnel geht und Ihr solltet einfach mal "jemand" fragen.

Wisst ihr ob das geht ? Oder gibt das nur Probleme? Man kann ja einem Netzwerk Adapter eine zusätzliche IP Adresse geben aus dem selben Netz. Würde das gehen (...)

Gehen tut das grundsätzlich. Ich würde ein solches Konstrukt aber als "nicht sauber" bezeichnen. Es fehlen aber auch noch Angaben zu Deinen Servern. Sollte ein AD im Spiel sein, so gibt es doch einiges zu beachten.
vgl. https://www.computerwoche.de/a/mehrere-ip-adressen-auf-einem-windows-sys ...
Hast du noch eine anderes Gateway im Haus? Nur dann kann das ja ansatzweise Sinn ergeben. Ob es zu Problemen führt, wirst Du hinterher wissen. Da gibt es ja zwei Seiten zu beachten: Die Windowswelt und die Welt deiner Anwendungssoftware.

oder wie würdet ihr das lösen. Leider ist es firewalltechnisch gerade nicht anderst möglich.

Ich würde eher mal das Thema angehen, die Serverlandschaft und die Watchguard ordentlich zu konfigurieren. Gleiche IP-Netze an unterschiedlichen Standorten ist doch immer schon mal ein schlechter Ansatz und mit Problemen vorbelegt. So macht man sich das Leben nur unnötig schwer... Weshalb ich auch immer bestrebt bin, keine "Wald-und-Wiesen-IP-Netze" zu konfigurieren, weil man eben immer auf "die Anderen" trifft die das nicht interessiert. Dann ist es besser, wenn wenigsten einer mitgedacht hat und man nicht dazu gezwungen ist, solch merkwürdige Konstrukte zu basteln.


Gruß
Member: erikro
erikro Feb 15, 2023 at 11:25:02 (UTC)
Goto Top
Moin,

Zitat von @staybb:
ich habe 4 Win 2019 Server welche zusätzlich in einem VPN Site2Site Tunnel zu dem Lieferanten der Software welche auf den Server installiert ist verbunden sind.

Etwas schräg der Satz. Ihr habt also einen Site2Site-Tunnel.

Das ganze sieht so aus, dass auf der Firewall ein Site2Site IPSec Tunnel existiert wo die 4 Server mit der dedizierten IP Adresse im VPN Routing hinterlegt sind.

Wat nu? Site2Site oder jeder Server hat für den Tunnel eine dedizierte IP?

Zusätzlich werden die 4 IPs der Server auf der Firewall mit einem 1:1 NAT umgeschrieben, da es auf der Gegenseite das gleiche IP Subnetz ist.

Wat denn nu? Haben die Server eine dedizierte IP für den Tunnel oder wird per NAT die IP gemappt? Und auf der Gegenseite das gleiche Subnet funktioniert nicht wirklich gut. Das wäre der Punkt, an dem ich ansetzen würde. Ist es das gleiche Subnet wie Euer lokales Produktivnetz oder wird für den Tunnel das gleiche benutzt wie das auf der anderen Seite?

Nun ist es so das die Windows Server keine Verbindung mehr zum Internet haben, da das ganze Routing durch den VPN Tunnel läuft und auf der Gegenseite der Traffic nach aussen geblockt wird.

Wenn es, was ich schwer vermute, das gleiche Netz auf beiden Seiten ist, dann ist das kein Wunder.

Leider konnte ich das auf der Watchguard nirgendswo konfigurieren, das der Internet Traffic bei uns druchgeht für die 4 Windows Server. Auch der Netzwerkler konnte es nicht konfigurieren.

Dann würde ich mal den Dienstleister wechseln. Offenbar versteht der Mann nichts von seinem Geschäft. Sowas einzurichten, sollte für einen Profi kein Problem sein. Wenn ich aber lesen, dass es auf beiden Seiten das gleiche Netz ist ...

Nun ist meine Frage, ob es möglich ist das ich den 4 Servern eine zusätzliche IP Adresse vergebe, sodass diese wieder ins Internet dürfen.

Eher nicht. Das wäre der falsche Ansatz. Konfiguriert das VPN sauber und dann funktioniert das auch. Wie der Kollege schon sagte, ist im Default Split-Tunneling vorgesehen, so dass nur der Traffic, der in das Zielnetz per VPN geht, auch dorthin geroutet wird und der Rest über das Default-Gateway. Wenn es aber das selbe Netz ist ...

Wisst ihr ob das geht ? Oder gibt das nur Probleme? Man kann ja einem Netzwerk Adapter eine zusätzliche IP Adresse geben aus dem selben Netz. Würde das gehen oder wie würdet ihr das lösen. Leider ist es firewalltechnisch gerade nicht anderst möglich.

Doch ist es. Wie schon gesagt, sucht Euch jemanden, der wirklich was davon versteht und nicht solchen Murks macht.

hth

Erik