Routing mit zwei Router funktioniert nicht

[MHeiss2003 11]

Hallöchen,

habe mal ein kleineres Anliegen. Bei meinem Kunden steht ein SBS2003. Auf diesem soll von aussen OWA erreichbar sein. Der Server hat eine Netzwerkkarte.

Nun habe ich einen Bintec-VPN-Router, der allerdings nur VPN-Verbindungen managed, sich aber im gleichen Netz befindet, wie der Server.

Wenn ich jetzt an diesem Router ein NAT-Port-Forwarding (TCP/443) auf den SBS 2003 mache, dann sollte eigentlich der Zugriff funktionieren.

Geht aber nicht. Habe mit Ethereal mal den TCP-Verkehr auf Port 443 überprüft. Es kommen Pakete am Server an.

Das einzige, was ich mir noch vorstellen kann, ist die Tatsache, dass der SBS 2003 einen anderen Standardgateway hat, also nicht den Bintec-Router.

Liege ich da richtig? Wenn ja, was ist zu tun?

Eventuell den VPN-Router in ein anderes Netz nehmen?

 

Grüße

Mario Heiß

[IThome 10]

Genau das ist das Problem, er schickt die Pakete über sein Standardgateway zurück und nicht über den Bintec, von dem sie gekommen sind. Eine Route eintragen klappt auch nicht, da die Verbindung von jeder unbekannten IP initiiert werden kann. Also eine Portumleitung auf dem eingetragenen Gateway machen und alles ist gut. Davon abhängig, wohin das eingetragene Gateway führt, könnte man auch den Bintec als Gateway eintragen und auf dem Server eine statische Route zu dem Ziel konfigurieren, zu dem das ursprüngliche Gateway führt ...

[MHeiss2003 11]

OK, so weit so gut. Das ist eine gute Gedächtnisstütze. Der ursprüngliche Gateway ist ein Gateway-Proxy-Server, der den gesamten Internetverkehr leitet, sozusagen als Internetgateway fungiert.

Wenn ich Dich jetzt richtig verstanden habe, dann muss ich von dem Bintec ein Portforwarding auf das Internetgateway machen und von dort aus denn diese Anfragen an den richtigen Server leiten. Stimmts?

Grüße

[MHeiss2003 11]

Das Problem ist, dass hier ein KEN! über DATEV!Net eingerichtet ist. Der Standardgateway ist also nicht konfigurierbar!!!

Kann ich nicht am SBS 2003 irgendwie sagen, wenn ein Paket vom Bintec-Router kommt, dann bitte schön auch wieder dorthinschicken?

MfG

[IThome 10]

Ähm, nein, so war das nicht gemeint. Wenn von aussen zugegriffen wird, nattet der Bintec es rein. Über ihn muss es zurückgehen. Ich weiss jetzt nicht, was man bei dem Ken einstellen kann und speziell was Datevnet dazu sagt (das ist ja ein VPN, so weit ich weiss). Das Gateway des Servers muss reinnatten, dann klappt es. Oder der Server muss einen anderen Weg ins Internet gehen ...

[goscho 11]

Wenn der Verkehr über den KEN gehen muss, so stelle eine eingehende Verbindung im Punkt Internet -> Firewall -> eingehende Verbindungen ein. Hier muss genau die IP und der Port angegeben werden, den das betrifft, also die IP deines SBS plus Port 443.

[IThome 10]

Die Frage ist nur, ob man von aussen überhaupt auf den Proxy zugreifen kann (bei Verwendung von Datevnet) ...

[goscho 11]

Morgen,

mir stellt sich erstmal die Frage, wer die DSL-Verbindung (oder anderes Breitband?) aufbaut. Wenn dies der KEN macht, dann muss sowieso schon eine eingehende Portweiterleitung für VPN existieren. Wenn für VPN mit dem Bintec jedoch eine andere Leitung genutzt wird und dieser von außen direkt zu erreichen ist, so ist der Vorschlag von ITHome im 2. Posting der richtige:

Also eine Portumleitung auf dem eingetragenen Gateway machen und alles ist gut. Davon abhängig, wohin das eingetragene Gateway führt, könnte man auch den Bintec als Gateway eintragen und auf dem Server eine statische Route zu dem Ziel konfigurieren, zu dem das ursprüngliche Gateway führt ...