Jeb 10 Geschrieben 12. April 2009 Melden Teilen Geschrieben 12. April 2009 Hi, also wie vielleicht schon im anderen Beitrag zu lesen möchte ich einen Server per IPSEC (aus irgendeinem grund tippt meine hand immer ipsex...... ) ans interne Netz anbinden. Das Problem was ich jetzt habe ist , dass er sich beim DNS Server mit all seinen IPs die er hat (öffentliche und internen) registriert. Obendrein bekommt er aus dem Pool von IP-Adressen nach jeder neuen Einwahl eine neue IP-Adresse. Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen. Durch die wechselnden IPs macht eine statische Route auch keinen Sinn... Kann mir jemand sagen wie ich das hinkriegen kann ? Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu.... Danke! Zitieren Link zu diesem Kommentar
Cotugno 10 Geschrieben 12. April 2009 Melden Teilen Geschrieben 12. April 2009 Hallo Jeb, du möchtest IP-Sec in deinem Netzwerk sprechen! Jedoch werde ich aus deiner Aussage wie oben beschrieben nicht ganz schlau. Daher frage ich mich ... 1) möchtest du IP-Sec von deinem Server über das Internet mit einem anderen Netzwerk betreiben, wofür sich meiner Meinung VPN L2TP over IP-Sec anbieten würde. 2) möchtest du im internen Netzwerk zwei Server IP-Sec kommunizieren lassen. MfG Cotugno Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 13. April 2009 Melden Teilen Geschrieben 13. April 2009 Hallo zusammen @Cotugno: Deine Annahme 1 trifft zu. Der betreffende Thread von dem er sprach ist hier: http://www.mcseboard.de/windows-forum-lan-wan-32/ipsec-windows-2008-a-150044.html Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen.Durch die wechselnden IPs macht eine statische Route auch keinen Sinn... Kann mir jemand sagen wie ich das hinkriegen kann ? Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu.... Im Prinzip schreit das ganze Szenario nach einer Reservierung im DHCP. Wenn in deinem Fall eine Firewall hier DHCP-Server spielt, wäre zu prüfen ob die mit Reservierungen umgehen kann. Ansonsten solltest du dir eine andere Firewall zulegen. ABER: so ganz versteh ich dein Problem nicht. Aktuelle Serverdienste sollten doch in der Lage sein, per DNS-Namen zu kommunizieren, oder? Welche große Rolle spielt da noch die IP? dass er sich beim DNS Server mit all seinen IPs die er hat (öffentliche und internen) registriert. Für die interne IP ist der Eintrag im DNS ja völlig korrekt, sonst wird er ja auch nur nicht gefunden. Und für die öffentliche IP (ich tippe mal auf LAN-Verbindung 1 ;) ) sollte es u.U. ausreichen, die Registrierung in den Eigenschaften der NIC abzuschalten. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. April 2009 Melden Teilen Geschrieben 14. April 2009 Also, so geht das nicht, wenn man Hilfe will :cry: Fangen wir mal an: Hi, also wie vielleicht schon im anderen Beitrag zu lesen Und wir sollen alle fleißig raten in welchem Beitrag?! Das ganze macht es den internen Server natürlich recht schwer den externen Server zu erreichen. Welchen internen Servern? Ist da noch ein Netz hinter dem externen Server? Welche Funktionen/Rollen hat der externe Server? Die Firewall die den IP-Sec Pool zur verfügung stellt lässt hier leider nichts genaueres zu.... :confused: Eine Route kannst du doch setzen. Du cerbindest dich ja schließlich nicht mit der externen IP des Servers, diese Verbindung dient ja nur dem Tunneln. Wennd er Server ein dahinter liegendes Netzwerk hat (siehe Frage oben), dann ist das Ziel der Route. Ansonsten die virtuelle Tunneladresse bzw. das Virtuelle Tunnelnetz als Route. Und ob sich die autom. DNS-Registrierung abschalten lässt, hängt von den Rollen des Servers ab (siehe Fragen oben). grizzly999 Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 14. April 2009 Melden Teilen Geschrieben 14. April 2009 Ehrlich gesagt habe ich sowieso das "Durchblick" problem. Also IPSEC hat einen Adresspool. Aus diesem Pool bekommt die einwählende Maschine nach Auth eine IP Adresse. In der FW bzw. dem GW ist doch eigentlich definiert internes Netz <-> IPSEC Pool <-> externes Netz oder wie jetzt ? Greetings Ralf Zitieren Link zu diesem Kommentar
Jeb 10 Geschrieben 15. April 2009 Autor Melden Teilen Geschrieben 15. April 2009 Hallo, Das sind viele Fragen auf einmal , aber ich versuche alle zu beantworten: 1) möchtest du IP-Sec von deinem Server über das Internet mit einem anderen Netzwerk betreiben, wofür sich meiner Meinung VPN L2TP over IP-Sec anbieten würde. 2) möchtest du im internen Netzwerk zwei Server IP-Sec kommunizieren lassen. Lass es mich neu formulieren. Ich hab ein Internes Netztwerk und möchte einen einzelnen externen/internet Server daran anbinden Im Prinzip schreit das ganze Szenario nach einer Reservierung im DHCP. Wenn in deinem Fall eine Firewall hier DHCP-Server spielt, wäre zu prüfen ob die mit Reservierungen umgehen kann. Ansonsten solltest du dir eine andere Firewall zulegen. ABER: so ganz versteh ich dein Problem nicht. Aktuelle Serverdienste sollten doch in der Lage sein, per DNS-Namen zu kommunizieren, oder? Welche große Rolle spielt da noch die IP? Für die interne IP ist der Eintrag im DNS ja völlig korrekt, sonst wird er ja auch nur nicht gefunden. Und für die öffentliche IP (ich tippe mal auf LAN-Verbindung 1 ) sollte es u.U. ausreichen, die Registrierung in den Eigenschaften der NIC abzuschalten. Du kommst meinem Problem schon sehr nahe. Leider vergibt die Firewall die IP für den IPSec-Client nicht über den DHCP, der im internen Netzwerk steht, sondern über einen Pool von Adressen. Weitere (typische DHCP-) Angaben (z.b. DNS Server, Gateway etc) lassen sich im L2tp Bereich separat einstellen. Hier ist also auch keine Reservierung o.ä. möglich :-/ Die Einstellung in den Eigenschaften der NIC (Adresse im DNS registrieren) kenne ich, und ich hab sie auch schon entsprechend gesetzt. Leider interessiert ihn das herzlich wenig. Der Server registriert sich also nach wie vor mit all seinen Adressen im DNS. Die Services können - ganz klar - mit dns-namen umgehen. Allerdings wird der Name halt überwiegend nicht mit der "internen"/ipsec ip aufgelöst. Genau das ist mein Problem.... Statische Routen o.ä. bringen mir nichts, da er nach jeder einwahl in den Tunnel eine andere Ip bekommt... Und ob sich die autom. DNS-Registrierung abschalten lässt, hängt von den Rollen des Servers ab (siehe Fragen oben). Wovon hängt das ab ? Welchen internen Servern?Ist da noch ein Netz hinter dem externen Server? Welche Funktionen/Rollen hat der externe Server? Im internen Netz stehen mehrere Server, das volle program an dns , active directory, backup , clients.... Der externe Server steht völlig alleine im Rechenzentrum, es ist kein weiteres Netz dahinter. Zu den Funktionen des externen Servers: IIS, Exchange, ActiveDirectory, DNS Also IPSEC hat einen Adresspool. Aus diesem Pool bekommt die einwählende Maschine nach Auth eine IP Adresse. Ja genauso ist es In der FW bzw. dem GW ist doch eigentlich definiert internes Netz <-> IPSEC Pool <-> externes Netz oder wie jetzt ? Was ist die Frage? :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. April 2009 Melden Teilen Geschrieben 15. April 2009 Zu den Funktionen des externen Servers: IIS, Exchange, ActiveDirectory, DNS Dann vergessen wir das mit dem Nicht-Registrieren der externen IP. Ein DNS-Server trägt sich immer mit allen seinen Adressen im DNS ein. Aber: So einen Server, mit AD, DNS usw., hängst du direkt ins Internet? :rolleyes: Davon würde ich absehen. Zur Routing-Problematik: Wie schon geschrieben, das sollte nicht das Problem sein, solange du nicht - fälschlicherweise - auf die offizielle IP routest. grizzly999 Zitieren Link zu diesem Kommentar
Jeb 10 Geschrieben 16. April 2009 Autor Melden Teilen Geschrieben 16. April 2009 hallo, also das routing ist eben nicht möglich eine statische router kann ich nicht eintragen da die ip-Adresse dafür wechselt Der Einwand wieso der Server direkt am Internet hängt ist allerdings berechtigt... Vor allem kostet die usg200 ja nicht soviel , und all meine probleme wären gelöst.... mal schaun , das muss ich mir noch überlegen Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. April 2009 Melden Teilen Geschrieben 16. April 2009 hallo, also das routing ist eben nicht möglich eine statische router kann ich nicht eintragen da die ip-Adresse dafür wechselt Der Einwand wieso der Server direkt am Internet hängt ist allerdings berechtigt... Vor allem kostet die usg200 ja nicht soviel , und all meine probleme wären gelöst.... mal schaun , das muss ich mir noch überlegen Wieso wechselt die IP denn? Die Route wird nicht auf die externe IP eingerichtet, würde ja eh nichts bringen, wenn dort sinnigerweise ein Filter nur IPSec-Verkehr zulassen würde. Die Route muss auf die Tunnel-IP gehen, und die ist ja weitestgehend vorgegeben :rolleyes: grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.