Jump to content

Routing so korrekt? Bitte um Meinungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich möchte euch bitten kurz einen Blick auf meine Netztopologie zu werfen, es scheint zwar alles wunderbar zu funktionieren, aber bin mir nicht sicher ob das so korrekt ist (vor allem auch in Bezug auf die Sicherheit).

 

Das hier ----- ||----- soll eine Verbindung darstellen ;-)

 

Anbei eine Skizze um mal die grundsätzliche Topologie aufzuzeigen:

 

Standort 1 [server1.domain.local]:

SBS 2003 Standard SP1

DNS Primär

AD DC

Globaler Katalog

Exchange

Domänen DFS Stamm

DHCP

 

IP: 192.168.123.100

Sub: 255.255.255.0

Gateway: 192.168.123.1

DNS P: 192.168.123.100

DNS S: keiner

 

----- ||-----

Internetverbindung: DSL 2048/192 mit DSL Router (Gateway)

----- | |-----

Site2Site VPN über R-RAS

----- | |-----

Internetverbindung: DSL 2048/192 mit DSL Router (Gateway)

----- | |-----

 

Standort 2 [server2.domain.local]:

Windows 2003 Server SP1

DNS Primär

AD DC

Globaler Katalog

Replizierter DFS Stamm

 

1. NIC server2:

IP: 192.168.0.101

Sub: 255.255.255.0

Gateway: 192.168.0.1

DNS P: 192.168.123.100

DNS S: 192.168.0.101

 

----- | |-----

In diesem Netzsegment sind noch andere Netzgeräte, die zwar nicht kritisch sind aber trotzdem vom internen Netz abgesichert sein sollten. Unter anderem eine WLAN Bridge welche nur mit WEP gesichert werden kann.

----- | |-----

 

2. NIC server2:

IP: 192.168.1.101

Sub: 255.255.255.0

Gateway: 192.168.1.1

DNS P: 192.168.123.100

DNS S: 192.168.1.101

 

----- | |-----

Internes Netz 192.168.1.0

----- | |-----

 

Client IP Konfiguration über DHCP:

IP: 192.168.1.0

Sub: 255.255.255.0

Gateway: 192.168.1.101

DNS P: 192.168.1.101

DNS S: keiner

 

-----------------------------

 

Am standort2 ist noch folgendes konfiguriert:

 

Gateway:

statische Route zu 192.168.123.0 mit Gatway 192.168.0.101

 

Server2:

- Statische Route an schnittstelle VPN mit 192.168.123.0

- NAT an Schnittstelle VPN (ohne Basisfirewall)

- NAT an Schnittstelle NIC1 ohne Basisfirewall)

- Schnittstelle NIC2 „An ein privates Netzwerk angeschlossene private Schnittstelle“

- keine Filter oder sonstige Regeln für NAT/Basisfirewall

 

DNS an beiden Standorten (repliziert):

Forward-Lookupzone [domain.local]

Reverse-Lookupzone

- 192.168.123.x Subnet

- 192.168.0. x Subnet

- 192.168.1. x Subnet

Die jeweiligen Karten sind als Schnittstellen im jeweiligen DNS eingetragen, aber nur die internen.

 

Nslookup von den jeweiligen Servern zu den gegenüberliegenden Servern funktioniert.

Nslookup von den Clients in Subnet 192.168.1.x funktioniert nicht!?

Meldung: Der Server mit der IP Adresse 192.168.0.1 konnte nicht gefunden werden: Non existent Domain. Der Standardserver ist nicht verfügbar.

Zugriff, ping etc. funktioniert. Netzverkehr mit PortQuery Tool getestet und keine Fehler gefunden welche den normalen DC Verkehr verhindern könnten.

 

Active-Directory Standorte:

Standort1:

- Replikation über IP

- Subnetz 192.168.123.x

Standort2:

- Replikation über IP

- Subnetz 192.168.0.x

- Subnetz 192.168.1.x

 

 

Also so wies aussieht funktioniert das alles wunderbar, allerdings möchte ich es gerne richtig machen und wäre für konstruktive Kritik sehr dankbar. Ich bin mir auch nicht sicher in wie weit diese Konfiguration löchrig ist und man diese sicherer machen könnte.

 

Ich hoffe ihr versteht was ich hier skizziert habe. Hoffe ich habe nichts wichtiges vergessen.

 

Grüße, und vielen Dank für euere Hilfe

 

Alex

Link zu diesem Kommentar

Hallo,

 

So weit ich weiß kann man eine WLAN Bridge, die auch im Bridge Modus verwendet wird, nicht für WPA oder höher verschlüsseln. Anscheinend ist diese Verschlüsselungsmethode noch nicht in dem Standard implementiert. Wohl gemerkt ich meine eine WLAN Brücke - nicht einen WLAN Accesspoint. Es soll aber trotzdem einige teuere Geräte geben die das außerhalb des Standards können sollten - diese sind mir allerdings zu teuer.

 

Aus diesem Grund möchte ich eben die internen Netze nochmals absichern falls sich doch jeamand über die WLAN Bridge Zugang verschafft soll der erst mal vor der nächsten Türe stehen.

 

Am Standort 2 möchte ich gerne das interne Netz 192.168.1.0 gegen das 192.168.0.0 absichern - ohne die VPN Verbindung zum Standort 1 zu beeinflussen. Außerdem sollte natürlich auch das VPN Netz zu 192.168.123.0 gegen das 192.168.0.0 gesichert werden. Denke das müsste ja mit den NAT/Basisfirewalls funktionieren?

 

Was meinst du mit Connections mit VPN?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...