ComputerBase Menü
Aktuelles

Windows Server 2008 R2 Routing / NAT im gleichem netz

Revolution

Revolution

Commodore
Registriert
März 2008
Beiträge
4.965
Hi,

Eins vorweg ich weis das das was ich vorhabe eigentlich sinnlos ist aber verschiedene Umstände zwingen mich dazu.

Ich hab eine Netzwerk in diesem sind mehrer Server und ein Standardgateway. Ich will jetzt folgendes erreichen sämtliche Windows Server in diesem Netzwerk sollen ihr Routing und somit ihren kompletten Netzwerk verkehr der in ein anderes Netzt geht nicht über dieses Gateway abwickeln sondern über einen Windows Server (2008R2). Nur der Windows Server soll Kontakt mit dem Standardgateway im gleichem Netz aufnehmen.

Wie erreiche ich das? Hab schon etwas bei Network Policy und Remote Access rum gespielt nur bin bisher nicht zum ziel gekommen. Der Server hat eine NIC könnte aber um eine andere NIC im gleichem Netz erweitert werden. Mein Ziel ist es das das echte Standardgateway nicht sieht von welchem Server die anfragen kommen.
 
Zuletzt bearbeitet:
Hi,

- Wieviele Server sind es denn?
- Ist auf allen Servern das AD installiert? ...falls Ja, sind diese Server als Replikationsserver konfiguriert oder stehen diese in einer Gesamtstruktur-Vertrauensstellung zueinander?
- Ist der Server, welcher das Routing übernehmen soll der Betriebsmaster?
- Sind die 5 Serverrollen auf dem Betriebsmaster oder verteilt auf unterschiedliche Server?

Grundsätzlich funktioniert das, wenn Du beim Betriebsmaster, bzw. bei dem Server, welcher die DNS-Server-Rolle hat, den DNS-Server richtig konfigurierst und im DHCP-Server in den Bereichsoptionen die IP des DNS-Servers und des Routers(Standardgateway) einträgst.

Der eingetragene Server als Standardgateway muss natürlich im IPv4 manuell und richtig konfiguriert werden.... wie funktioniert denn die Einwahl ins I-Net (zusätzlicher Router oder macht das auch der Server mit pppoe über ein Modem mit einer zweiten Netzwerkkarte?)?
Alle weiteren Server würde ich im IPv4 ebenfalls manuell konfigurieren und jeweils den DNS-Server und das Standardgateway eintragen.

Zusätzlich muss natürlich die Firewall richtig konfiguriert sein? Zur Ersteinrichtung deaktiviere ich immer erst die Firewall (einfach den Dienst beenden!) bis es funktioniert, aktiviere und konfiguriere diese.

An den Group-Policies solltest Du da nicht rumspielen und was der Remote Access damit zu tun hat, verstehe ich nun auch gerade nicht.

LG
Aresta
 
Zuletzt bearbeitet: (Typo)
Hi,

also der Windows Server der dann vor dem bisherigen "Gateway" liegt muss unbedingt 2 Netzwerkkarten verfügen und in dem Server 2008 muss dann die Routing-Funktion aktiviert werden.


Die clients die dann bisher über das Standardgateway geroutet wurden müssen natürlich dann über den Server 2008 routen und die IP von diesem Server beim "standard Gateway" eingetragen haben.

Über eine ACL würde ich dann dem bisherigen Gateway noch sagen das er nur Pakete von der IP des Server 2008 annehmen darf um eine eventiuelle Überbrückung des Server 2008 zu unterbinden.

NAT brauhcst du in diesem Fall nicht, da es das selbe Netzwerk ist und die Pakete die in ein anderes Netzwerk gehen von dem bisherigen Router geNATet werden.


Hier eine allgemeine Anleitung mit dem unterscheid das es 2 verschiedene Netze sind, ist aber im Printip die gleiche vorgehensweise.

Anleitung
 
und was der Remote Access damit zu tun hat, verstehe ich nun auch gerade nicht.
Zum Vergrößern anklicken....
Ok vielleicht liege ich falsch aber ich dachte mit dieser Rolle kann ich Routing bei einem Server aktivieren?

Wieviele Server sind es denn?
Zum Vergrößern anklicken....
~10

Ist auf allen Servern das AD installiert? ...falls Ja, sind diese Server als Replikationsserver konfiguriert oder stehen diese in einer Gesamtstruktur-Vertrauensstellung zueinander?
Zum Vergrößern anklicken....
Alle Server sind in einer Domain zwei davon sind DC's, die Server stehen alle in einer Gesamtstruktur-Vertrauensstellung.

- Ist der Server, welcher das Routing übernehmen soll der Betriebsmaster?
Zum Vergrößern anklicken....
Dedizierter Server der als Member Server im AD hängt.

- Sind die 5 Serverrollen auf dem Betriebsmaster oder verteilt auf unterschiedliche Server?
Zum Vergrößern anklicken....
Sind alle auf dem Betriebsmaster sollt aber für das Routing auf nem separaten Server keine rolle Spielen.

Grundsätzlich funktioniert das, wenn Du beim Betriebsmaster, bzw. bei dem Server, welcher die DNS-Server-Rolle hat, den DNS-Server richtig konfigurierst und im DHCP-Server in den Bereichsoptionen die IP des DNS-Servers und des Routers(Standardgateway) einträgst.
Zum Vergrößern anklicken....
DHCP Läuft nicht, ok wie muss ich den den DNS Server Konfigurieren? Momentan sind die beiden DC's die DNS Server, die anderen Server haben sie als DNS Server eingetragen.

wie funktioniert denn die Einwahl ins I-Net (zusätzlicher Router oder macht das auch der Server mit pppoe über ein Modem?)?
Zum Vergrößern anklicken....
Eine Einwahl ins Internet findet nicht statt. Das netzt in dem sich alle Server befinden 10.0.8.X soll mit diesem Server 10.0.8.51 auf das Gateway 1.0.8.254 weiterleiten das dann ins 10.0.16.X netzt Routet.

Also 10.0.8.X --> 10.0.8.51 --> 10.0.8.254 --> 10.0.8.16

Zusätzlich muss natürlich die Firewall richtig konfiguriert sein? Zur Ersteinrichtung deaktiviere ich immer erst die Firewall bis es funktioniert, aktiviere und konfiguriere diese.
Zum Vergrößern anklicken....
Sind alle aus werden im Internen Netzwerk nicht benötigt.
 
Hi,

also der Windows Server der dann vor dem bisherigen "Gateway" liegt muss unbedingt 2 Netzwerkkarten verfügen und in dem Server 2008 muss dann die Routing-Funktion aktiviert werden.


Die clients die dann bisher über das Standardgateway geroutet wurden müssen natürlich dann über den Server 2008 routen und die IP von diesem Server beim "standard Gateway" eingetragen haben.

Über eine ACL würde ich dann dem bisherigen Gateway noch sagen das er nur Pakete von der IP des Server 2008 annehmen darf um eine eventiuelle Überbrückung des Server 2008 zu unterbinden.

NAT brauhcst du in diesem Fall nicht, da es das selbe Netzwerk ist und die Pakete die in ein anderes Netzwerk gehen von dem bisherigen Router geNATet werden.


Hier eine allgemeine Anleitung mit dem unterscheid das es 2 verschiedene Netze sind, ist aber im Printip die gleiche vorgehensweise.

Anleitung
Zum Vergrößern anklicken....
Ok liegt vielleicht an mir aber mit der Anleitung komme ich irgendwie bei meinem Problem nicht weiter. Theoretisch verstehe ich alles nur fehlt mir hier die Konkrete Info wie man das umsetzt.

Also ich würde als Gateway eben die Server IP des Proxies eintragen.
Wenn der korrekt eingestellt ist, gehts dann.
Zum Vergrößern anklicken....
oO welcher Proxy?
 
Wie du schon richtig im Betreff angemerkt hast, brauchst du hierfür NAT/SAT. Beim "normalen" Routing weiss nämlich der Empfänger immer wer der ursprüngliche Sender war.

Merle hat also Recht wenn er von Proxyserver redet. Circuit Relay Firewall ist hier das Stichwort!

Gruß
 
Zuletzt bearbeitet:
Huhu,

Darf ich mal zusammenfassen?
- Es gibt 2 DC's in bidirektionaler transitiver Gesamtstruktur-Vertrauensstellung
(hier ist bereits die Konfiguration des DNS-Servers nicht ganz trivial)
- Es gibt 8 weitere Server, welche einfach nur Domänenmitglieder sind
- Internet steht weder den Servern noch den Clients zur Verfügung?
- Es gibt keinen DHCP-Server, so dass auch alle Clients zusätzlich zu den 10 Servern manuell konfiguriert werden müssen?


Also 10.0.8.X --> 10.0.8.51 --> 10.0.8.254 --> 10.0.8.16
Zum Vergrößern anklicken....
*hier stimmt etwas nicht!

Es gibt zwei IP-Bereiche, wobei diese über einen Gateway-Server miteinander kommunizieren sollen?

Je nach Clientanzahl würde sich evtl. noch anbieten, auf dem DNS-Server einen Wins-Server einzurichten (über die Features, das ist keine Rolle!)

Da ich jetzt "leider" doch verstehen muss, wozu diese Struktur dient, muss ich wissen, warum das Routing wie von Dir gewünscht organisiert werden muss.

LG
Aresta

PS. Wenn Du die Pakete wirklich auch noch anonymisieren willst, hilft in der Tat nur ein Proxy, wobei mir aufgrund fehlender Informationen nicht klar ist, ob das mit einem ISA-Server, Forefront Threat Management Gateway 2010, etc. realisiert werden muss...
 
Zuletzt bearbeitet:
Da ich jetzt "leider" doch verstehen muss, wozu diese Struktur dient, muss ich wissen, warum das Routing wie von Dir gewünscht organisiert werden muss.
Zum Vergrößern anklicken....
10.0.8.51 ist die einzige IP Adresse mit der bestimmte Dienste (HTTP, SSH, usw) im Remote Netzwerk angesprochen werden können. Es muss also so aussehen als ob alle Server diese IP Adresse hätte. Allerdings soll dies nur so ein wenn das Zielnetzwerk 10.0.16.X ist.

Es gibt zwei IP-Bereiche, wobei diese über einen Gateway-Server miteinander kommunizieren sollen?
Zum Vergrößern anklicken....
.254 ist der Router der in dieses 16er Netz routet.
 
Huhu,

Also wenn Du das Routing sauber über diesen Gateway-Server hinbekommen möchtest, musst Du den DNS-Server dementsprechend konfigurieren und auch die Gateway Einträge in den NIC's ohne DHCP-Server zum Gateway manuell einstellen.

Mit Proxy-Servern in einem Intranet oder einer Firewall mit IP-Spoofing, welchen Du benötigst, wenn Du Anfragen anonymisieren willst, kenne ich mich aber nicht aus. Eigentlich sind die Proxy's ja gedacht, um einen Filter in beide Richtungen und ein Site-Caching für das Internet anzubieten.

Evtl. hilft Dir Squid und Du definierst nur die internen Zonen. Die Proxy-Funktionen im ISA-Server oder TMG (je nach OS auf dem Gateway-Server) sind nur zusätzlich vorhanden und können nicht allein konfiguriert werden - klingt für mich irgendwie nach "overkill".

Wenn man wirklich wüsste, wozu dieses dienen soll, könnte man bestimmt auch ganz andere Lösungsansätze verfolgen - wobei ich aber verstehen kann, dass Du hier bei einer solchen Konstellation dieses nicht in aller Öffentlichkeit ausbreiten möchtest.

LG
Aresta
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Cool Master
Mobilfunkanbieter egal bei gleichem Netz?
2
Antworten
39
Aufrufe
2.652
100%Laie
1
Q
Fritzbox als Mesh Master aber ohne Routing/NAT
Antworten
15
Aufrufe
3.165
Qronos
Q
The Loner
Empfang gleich bei gleichem Netz/unterschiedlichen Providern?
Antworten
4
Aufrufe
1.410
boarder-winterman
boarder-winterman
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz