droptix 10 Geschrieben 23. Mai 2008 Melden Teilen Geschrieben 23. Mai 2008 Habe hier ein kleines Firmennetzwerk. Da gibt's einen zentralen Server mit dem Hostnamen "server" und der IP-Adresse 192.168.1.1. Wenn ich mich mit meinem Laptop ins LAN einklinke, dann bekomme ich eine 192.168.1.0xy-Adresse vom Router und kann problemlos den Server via `ping server` anpingen. Auf dem Server habe ich "eingehende Verbindungen" zugelassen, also einen simplen VPN-Server eingerichtet, der unter 192.168.1.70 erreichbar ist (RAS-Dienst). Nun gehe ich nach Hause und wähle mich über die VPN-Verbindung ein. Ich bekomme eine 192.168.1.1xy-Adresse. Klappt, aber ein `ping server` geht nicht. Habe mir mal sagen lassen, dass man dafür RAS besser konfigurieren muss, also irgendwas mit einer Reverse-Zone zur Namensauflösung… wenn man VPN ganz simpel über "eingehende Verbindungen" einrichtet, kann man RAS nicht weiter konfigurieren. Man müsste es komplett manuell einrichten. Also habe ich in der Datei %SystemRoot%\system32\drivers\etc\lmhosts folgenden Eintrag hinzugefügt: 192.168.1.70 server #PRE Da standardmäßig die LMHOSTS-Abfrage für LAN-Verbindungen aller Art aktiviert ist, kann ich nun `ping server` ausführen. Problem: Wenn ich mich nun wieder ins LAN einklinke, kriege ich keine Verbindung zum Hostnamen "server". Wahrscheinlich hat sich Windows gemerkt, dass "server" unter der IP-Adresse 192.168.1.70 gefunden werden will. Da die aber nur nach Herstellen einer VPN-Verbindung verfügbar ist, geht das nicht mehr. Doof! Nun kann ich bei den anderen LAN-Verbindungen (für LAN- und WAN-Adapter) die LMHOSTS-Abfrage deaktivieren, aber dort könnten ja auch andere wichtige Dinge drin stehen. Fragen: 1) Kann man verschiedene LMHOSTS-Dateien auf verschiedene LAN-Verbindungen anwenden oder gibt's nur eine globale LMHOSTS-Datei? 2) Irgendwie ist das alles eine "Quick & Dirty" Lösung. Wie müsste man denn vorgehen, um den Hostnamen "server" auch über VPN korrekt auflösen zu können, ohne den Weg über LMHOSTS zu gehen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Mai 2008 Melden Teilen Geschrieben 23. Mai 2008 Wenn Du #PRE setzt, wird es vorab in den NetBIOS-Namenscache geladen und bleibt dort auch. Also ohne #PRE und wenn diese Auflösung nicht mehr benötigt wird, nbtstat -R (grosses R) ausführen. Willst Du kein Quick ´n Dirty, dann konfiguriere RRAS auf dem Server und benutze DNS-Namensauflösung ... Poste aber trotzdem mal die Ausgabe von IPCONFIG /ALL des VPN-Servers und dem Client ... Zitieren Link zu diesem Kommentar
droptix 10 Geschrieben 23. Mai 2008 Autor Melden Teilen Geschrieben 23. Mai 2008 Also ohne #PRE wird es nicht ge-cached. Was ist dann der Vorteil von #PRE? Schnellere Namensauflösung? Ich hab VPN auch schonmal über RAS, also nicht über "eingehende Verbindungen" konfiguriert. Ging auch alles, aber ob die Namensauflösung geklappt hatte weiß ich nicht mehr. Ich weiß aber nicht mal, was eine "Reverse Zone" ist... :) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Mai 2008 Melden Teilen Geschrieben 23. Mai 2008 Doch, es wird auch gecached, allerdings nicht unbegrenzt (Dauer -1). Wenn Du auswärts bist und mit #PRE vorab diesen Eintrag in den Cache lädst (beim Systemstart), funktioniert es ja wie es soll. Wenn Du den Rechner dann allerdings herunter fährst und in der Firma startest, wird eben dieser dann falsche Eintrag auch in den Cache geladen. Der Cache wird in jedem Fall VOR der LMHOSTS abgefragt. Wenn Du ohne #PRE konfigurierst, wird nichts in den Cache geladen und zum Ende der Namensauflösungsreihenfolge erst die LMHOSTS abgefragt. Vorher kommt in jedem Fall noch eine Broadcastabfrage, die dann den richtigen Namen auflöst. Du solltest aber besser RRAS und DNS konfigurieren. Eine Reverse Lookup Zone (Auflösung FQDN zu IP) benötigst Du dafür aber nicht ... Zitieren Link zu diesem Kommentar
droptix 10 Geschrieben 23. Mai 2008 Autor Melden Teilen Geschrieben 23. Mai 2008 Beim aktuellen Server scheitert RRAS, weil nur eine Netzwerkkarte drin steckt und RRAS ja unbedingt eine Netzwerkkarte komplett für VPN beansprucht, was bei "eingehende Verbindungen" nicht der Fall ist. Daher hatte ich erstmal sie simple Methode gewählt. Was ist denn der Vorteil von RRAS gegenüber "eingehende Verbindungen"? DNS: Sollte man den Server als DNS konfigurieren? Ist das aufwändig? Gibt's dazu gute Tutorials? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Mai 2008 Melden Teilen Geschrieben 23. Mai 2008 Das ist falsch, Du kannst nur nicht den Assistenten bzw. musst die benutzerdefinierte Konfiguration benutzen und alles selbst konfigurieren ... Der Vorteil von RRAS ist die Möglichkeit, sehr fein und genau konfigurieren zu können ... Zitieren Link zu diesem Kommentar
droptix 10 Geschrieben 23. Mai 2008 Autor Melden Teilen Geschrieben 23. Mai 2008 Was ist falsch? Dass der Server zwingend zwei Netzwerkkarten benötigt und eine ausschließlich für VPN-Verbindungen beansprucht? Das wäre ja super. Hier der Weg, wie ich damals VPN über RRAS eingerichtet hab. Ab dem Abschnitt "Benutzer und Gruppen anlegen" bzw. "VPN einrichten" geht's dann los mit RRAS. Ich hab mir das damals aus mehreren Tutorials zusammen gepuzzelt und so protokolliert. Mich würde euer Senf dazu interessieren. Würdest du diesen Weg als den "über den Assistenten" bezeichnen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Mai 2008 Melden Teilen Geschrieben 23. Mai 2008 Man kann den RRAS auch als VPN-Server benutzen, wenn er nur eine Karte hat (es gibt nur keinen passenden Assistenten für dieses Szenario) ... Zitieren Link zu diesem Kommentar
droptix 10 Geschrieben 24. Mai 2008 Autor Melden Teilen Geschrieben 24. Mai 2008 Ich erinnere mich gerade, dass ich genau das Problem mit der Karte letztens bei einem Kollegen hatte. Der Assistent wollte mit nur einer Karte nicht weiter machen. Daher hatten wir vorübergehend die Software Hamachi installiert, weil dabei ein "virtueller" Netzwerkadapter erzeugt wird. Der VMware Player wäre bestimmt genau so gegangen… Jedenfalls war es somit möglich, den Assistenten fortzusetzen und die LAN-Karte des Servers als gewünschten Netzwerkadapter auszuwählen. Wenn man in diesem Dialog die Option "Sicherheit auf der ausgewählten Schnittstelle durch Einrichten statischer Paketfilter" deselektiert (Häkchen entfernen), dann wird der Netzwerkadapter nicht ausschließlich für VPN genutzt. So zumindest ist das bei mir im Kopf hängen geblieben. Im Anschluss kann man den virtuellen Netzwerkadapter wieder deinstallieren. Trotzdem wollte dieses Szenario nicht funktionieren. Leider weiß ich nicht mehr, was genau schief gegangen ist, aber der VPN- bzw. RRAS-Dienst lief und Clients konnten sich einfach nicht verbinden. Bei dem Weg über "eingehende Verbindungen" ging alles sofort und problemlos. Bleibt die Frage, ob es reicht, den Server mit DNS-Funktionen auszustatten. Hab hier ne sehr ausführliche Anleitung zur DNS-Einrichtung bei Microsoft gefunden. Ist die empfehlenswert? Zitieren Link zu diesem Kommentar
droptix 10 Geschrieben 24. Mai 2008 Autor Melden Teilen Geschrieben 24. Mai 2008 So, hier mal `ipconfig -all` vom Server (MAC-Adressen "geschwärzt"): Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : server Primäres DNS-Suffix . . . . . . . : Firma.local Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Ja DNS-Suffixsuchliste . . . . . . . : Firma.local PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-00-00-00-00-00 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.70 Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Physikalische Adresse . . . . . . : 00-00-00-00-00-01 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.1 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.254 DNS-Server . . . . . . . . . . . : 192.168.1.1 192.168.1.254 NetBIOS über TCP/IP . . . . . . . : Deaktiviert Sobald ich mich mit dem Client über VPN einwähle und `ping server` eingebe, wird "server" als 192.168.1.70 aufgelöst. Das ist aber nur die Einwahlstelle für den RRAS-Service und nicht der eigentliche Server, auf dem wichtige Dateifreigaben etc. liegen. Das Problem: Programme, die mit einem Hostnamen arbeiten, kommen nicht an ihre Daten. Beim Client sieht das Ganze so aus: Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : client Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Ja WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Cont roller Physikalische Adresse . . . . . . : 11-11-11-11-11-11 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.0.100 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.0.1 DHCP-Server . . . . . . . . . . . : 192.168.0.1 DNS-Server. . . . . . . . . . . . : 82.144.41.8 62.220.18.8 Lease erhalten. . . . . . . . . . : Samstag, 24. Mai 2008 08:17:30 Lease läuft ab. . . . . . . . . . : Montag, 26. Mai 2008 10:17:30 Ethernetadapter WLAN: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Network Connection Physikalische Adresse . . . . . . : 22-22-22-22-22-22 PPP-Adapter VPN-Einwahl: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 33-33-33-33-33-33 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.107 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 192.168.1.107 DNS-Server. . . . . . . . . . . . : 192.168.1.1 192.168.1.254 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Mai 2008 Melden Teilen Geschrieben 24. Mai 2008 Ich erinnere mich gerade, dass ich genau das Problem mit der Karte letztens bei einem Kollegen hatte. Der Assistent wollte mit nur einer Karte nicht weiter machen. Daher hatten wir vorübergehend die Software Hamachi installiert, weil dabei ein "virtueller" Netzwerkadapter erzeugt wird. Der VMware Player wäre bestimmt genau so gegangen… Jedenfalls war es somit möglich, den Assistenten fortzusetzen und die LAN-Karte des Servers als gewünschten Netzwerkadapter auszuwählen. Wenn man in diesem Dialog die Option "Sicherheit auf der ausgewählten Schnittstelle durch Einrichten statischer Paketfilter" deselektiert (Häkchen entfernen), dann wird der Netzwerkadapter nicht ausschließlich für VPN genutzt. So zumindest ist das bei mir im Kopf hängen geblieben. Im Anschluss kann man den virtuellen Netzwerkadapter wieder deinstallieren. Trotzdem wollte dieses Szenario nicht funktionieren. Leider weiß ich nicht mehr, was genau schief gegangen ist, aber der VPN- bzw. RRAS-Dienst lief und Clients konnten sich einfach nicht verbinden. Bei dem Weg über "eingehende Verbindungen" ging alles sofort und problemlos. Bleibt die Frage, ob es reicht, den Server mit DNS-Funktionen auszustatten. Hab hier ne sehr ausführliche Anleitung zur DNS-Einrichtung bei Microsoft gefunden. Ist die empfehlenswert? Naja, zum Einrichten des VPN musst Du keinen Assistenten benutzen. Wähle "Benutzerdefinierte Konfiguration" und konfiguriere zu Fuss (so viel ist das ja nicht). Mit irgendwelchen virtuellen Adaptern, die nachher wieder deinstalliert werden ... naja ... interessanter Versuch :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.