mike66
Goto Top

Zwei Subnetze mit einem Server und zwei Internetzugängen für verschiedene Aufgaben

Hallo,

ich komme mit folgender ( neuer ) Problemstellung in unserem - kleinen - Netzwerk einfach nicht weiter:

Aufgrund mangelnder Bandbreite der nach einem Umzug verfügbaren DSL-Zugänge ( DSL 3000/512 ) haben wir unlängst unseren primären Internetzugang auf einen lokalen Kabelprovider umgestellt ( zunächst Bandbreite 32000/1024, demnächst Upgrade auf 100000/2048 ). Wir betreiben zwei Subnetze ( Bürobereich SN1: 192.168.1.0 / Technik SN2: 192.168.2.0 ) an einem Server 2012 als Domänencontroller mit zwei Nics ( NIC1: 192.168.1.1 und NIC2: 192.168.2.1 ). Bis zu unserem Umzug wurden beide Subnetze über zwei getrennte DSL-Router ( 192.168.1.254 und 192.168.2.254 ) mit dem Internet verbunden, da an unserem alten Standort ausreichende DSL-Bandbreiten verfügbar waren. VPN-Zugriffe fanden nur sporadisch von zwei Roadwarriors über den VPN-Router 192.168.1.254 auf den Server statt, auf dem dieser Router auch als Gateway auf NIC1 eingetragen war, DNS-Server 192.168.1.1. Damals alles prima.
Nun soll allerdings noch eine Büroaußenstelle mit drei Usern über VPN angebunden werden. Da diese User ausschließlich via VPN und RDP ganztägig arbeiten werden und zudem noch aktiv in unser DMS scannen sollen, benötigen wir eine höhere, symmetrische Bandbreite für den Interzugang, der den VPN-Access ermöglichen soll. Geplant ist hierfür ein synchroner 10MBit-Internetzugang über einen lokalen Provider, ein gleicher Anschluss wird auch in der Außenstelle geschaltet werden. Dieser Zugang soll ausschließlich dediziert für den VPN-Datenverkehr ( SN1 ) genutzt werden, während der asynchrone Kabelanschluss für den Internetzugang und Mailverkehr des Büro- und Technikbereiches ( SN1 und SN2 ) der Hauptstelle genutzt werden soll.
Genau das bekomme ich aber - offenbar mangels Verständnis der Materie - nicht hin. Am Server kann ich natürlich nur ein Default-Gateway eintragen. Je nachdem, bei welcher NIC ich den entsprechenden Router des jeweiligen Subnetzes als Gateway eintrage, wird auch nur dieser für den Internetzugang des gesamten Netzes genutzt. Zeitgleich funktioniert der andere Router, der nicht Gateway ist, auch nicht mehr für den VPN-Zugang ( Tunnel steht natürlich, aber kein Ping auf Server mehr möglich ). Ist er Gateway, so funktioniert auch der VPN-Zugang wieder problemlos. Ich kriege also die benötigte Trennung von Internetzugang für beide Subnetze über Router2 sowie VPN-Zugang über Router1 nicht hin. Die Problematik ändert sich auch nicht, wenn ich die beiden Router in einem Subnetz platziere.
Nach Lektüre der diversen Tutorials für ähnliche Umgebungen sowie entsprechender Forenbeiträge habe ich bis dato von jeglichen statischen Routen auf dem Server abgesehen und lediglich versucht, in den Routern statische Routen anzugeben, was aber keinerlei Erfolg brachte. Bei der Anlage der Routen könnte ich allerdings auch einem Knoten im Gehirn zum Opfer gefallen sein face-smile.

Da wir aufgrund anderer Features für unsere - oben etwas vereinfacht dargestellte - Umgebung ungern die verwendeten Router austauschen würden, wäre ein Lösungsansatz mit einem Router mit zwei WAN-Schlüssen eine für uns ungünstige Lösung.

Ich komme da nicht weiter und wäre für jeden Tipp dankbar !

Mike

Content-ID: 262124

Url: https://administrator.de/contentid/262124

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

aqui
aqui 03.02.2015 aktualisiert um 16:10:06 Uhr
Goto Top
Ist ein wöchentlicher Klassiker hier... ! Die Suchfunktion hätte geholfen.
Für sowas benutzt du am besten einen Dual WAN Port Load Balancing Router wie einen Draytek 29xx, Linksys LRT 244, Cisco RV042, 320 oder 325 usw. usw.
Alternativ wenn du selbst Hand anlgen willst geht auch eine Firewall mit so einer Balancing Funktion:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Mit so einem Dual WAN Router hast du eine zentrale Route und kannst trotzdem ein Policy Based Routing je nach Dienst oder Leitungs Auslastung über beide Provider machen oder ein Round Robin oder was auch immer du benötigst. Das ist konfigurierbar.
Natürlich mit gegenseitigem Backup der Links im Fehlerfalle.
Idealerweise haben diese Router auch gleich alle eine VPN Funktion mit an Bord und können so sinnigerweise gleich für den remote Access benutzt werden.
Alles zum Routen deiner beiden Segmente erklärt dir dieses Forumstutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit ist so ein Szenario im Handumdrehen gelöst !
habe ich bis dato von jeglichen statischen Routen auf dem Server abgesehen
Was auch gut und richtig ist, denn routen sollen Router und nicht Server !
und lediglich versucht, in den Routern statische Routen anzugeben, was aber keinerlei Erfolg brachte.
Kein Wunder, denn in deinem Szeanrio ist das sinnfrei, es sei denn du routetst beide Segmente über den Server ! (Siehe o.a. Tutorial)
wäre ein Lösungsansatz mit einem Router mit zwei WAN-Schlüssen eine für uns ungünstige Lösung.
Das ist dann schonmal sehr schlecht, geht aber auch wenn du einen Router verwendest der Policy Based Routing beherrscht:
Cisco Router 2 Gateways für verschiedene Clients
oder hier z.B. mit einem preiswerten Mikrotik Router:
Policy based Routing mit Mikrotik 750
Die neue Außenstelle wird ja sicher auch mit einer LAN zu LAN Kopplung über VPN Router angebunden, oder ?