Routing zweier Subnetze mit Windows Server 2012 R2

[DonMatze 0]

Moin moin,

ich habe leider noch keine Antwort auf meine Frage gefunden, deswegen stelle ich sie mal. Mit der Kategorie bin ich mir nicht ganz sicher, zwei konnte ich leider nicht auswählen, da ich aber mit Microsofts Server rum hantiere, denke ich passt das hier schon.

Kernpunkt meiner (virtuellen-) Infrastruktur ist ein Windows Server 2012 R2 mit zwei Interfaces.
Die Subnetze sind 10.0.2.0/24 und 192.168.0.0/24. Die Interfaces haben die IP Adressen 10.0.2.15 ("ExternesNetz") und 192.168.0.1("InternesNetz").
An das 192er Subnetz ist der DHCP Service gebunden.
Unter der IP 10.0.2.2 befindet sich ein NAT Router, der am Internet hängt.

Nun habe ich die RAS Rolle installiert und dort LAN Routing aktiviert. Nun sollten eigentlich beide Subnetze mit einander kommunizieren können.
Ein Ping vom Client 192.168.0.51 an 10.0.2.15 funktioniert. Jedoch kann ich vom besagten Client den NAT Router (10.0.2.2) nicht anpingen. Ein Ping vom Server aus funktioniert.

Statische Routen führten mich nicht zum Erfolg.
Vom Interface "InternesNetz" wurde Folgende Route eingerichtet: Destination: 10.0.2.0, Netzwerkmaske: 255.255.255.0, Gateway: 10.0.2.15
Vom Interface "ExternesNetz" wurde Folgende Route eingerichtet: Destination: 192.168.0.0, Netzwerkmaske: 255.255.255.0, Gateway: 192.168.0.1

Ein Blick mit Wireshark unter die Haube brachte folgendes zu Tage. ARP vom Client (192.168.0.51) nach 10.0.2.2 funktioniert. Versucht 10.0.2.2 jedoch auf den ICMP Ping zu reagieren, lässt sich die IP Adresse des Clients nicht per ARP auflösen. Eine Antwort auf die ARP Anfrage bleibt aus.
Wireshark meldet dann natürlich die Warnung "no response found!".

Wenn ich LAN Routing verwerfe und stattdessen NAT Routing benutze, geht es in Richtung 10.0.2.2 und Internet funktioniert auch. Aber das ist nur unidirektional und es soll halt in beide Richtungen funktionieren.


Ich hoffe ihr könnt mir da weiter helfen.
Falls ihr noch mehr Infos braucht, meldet euch ruhig.


Viele Grüße
Matze

[Daniel -MSFT- 129]

Du beschreibst hier, was Du konfiguriert hast. Beschreib doch mal, was Du eigentlich erreichen willst. Kennt der NAT-Router auch das Netz 192.168.0.0, also existiert die Rückroute?

 

Damit der Server IP-Pakete routet, brauchst Du nicht die RRAS-Rolle installieren. Das IP Forwarding kann in der Registry aktiviert werden. Die RRAS-Rolle ist dann sinnvoll, wenn der Server auch NAT nutzen soll. Daher die Frage, was Du eigentlich genau erreichen willst?

 

Vielleicht hilft Dir ja http://wiki.hetzner.de/index.php/Windows_Server_2012_Subnet weiter?

bearbeitet 5. September 2014 von Daniel -MSFT-

[DonMatze 0]

Moin moin,

 

sorry dass das nicht so klar war.

Ich möchte, dass beide Subnetze miteinander kommunizieren können. So sollen die 192er Clients das 10.0.2.2er Gateway benutzten um ins Internet zu gelangen, jedoch auch Clients aus dem 10er Subnetz z.B. HTTP/FTP Dienste aus dem 192er Subnetz ansprechen können.

 

Dafür würde das IP Forwarding schon genügen?

 

 

Viele Grüße

Matze

[Daniel -MSFT- 129]

Du schaltest IP Forwarding ein, damit der Server zwischen dem 10er und dem 192er Netz routet. Im 192er Netz bekommen diE Clients die 192.168.0.1 als Standardgateway. Im 10er Netz bekommen alle (auch Dein Server) den NAT-Router als Standardgateway. Im NAT-Router trägst Du eine statische Route für das 192er Netz mit dem Ziel 10.0.2.15 ein.

 

Have fun!

Daniel

[DonMatze 0]

Moin,

 

vielen Dank, den NAT Router kann ich glaube ich nicht konfigurieren, der gehört zu VirtualBox.

 

Viele Grüße

Matze

[Daniel -MSFT- 129]

Beschreib mal Dein Netzwerk genauer. Wo kommt die Virtual Box jetzt her? Im Zweifel brauchst Du auf dem Rechner, auf dem Virtual Box läuft, die statische Route.

 

Die beiden ursprünglich von Dir eingerichteten statischen Routen sind übrigens wirkungslos. Dafür gibt es ja Standardgateways.

bearbeitet 6. September 2014 von Daniel -MSFT-

[DonMatze 0]

Moin Moin,

 

es handelt sich hier um ein Experiment, damit ich Erfahrung mit den Grundlegenden Serverdiensten erhalte.

Da ich hier nur einen alten 32 Bit Server stehen habe, geht das mit 2012 R2 natürlich nicht.

Die ganze Infrastruktur existiert virtuell.

 

Ich wollte Grundlegendes Routing ausprobieren. Dass die statischen Routen keinen Sinn machen, habe ich auch gemerkt.

 

Eine Lösung wären ein zweiter Server mit zwei NICs, wovon eines am NAT hängt. Dann können beide Subnetzte miteinander kommunizieren und das NIC, welches am NAT hängt als Gateway nutzen.

 

Zur näheren Beschreibung: Zwei Subnetze sollen miteinander kommunizieren und ein Gateway ins Internet benutzen, welches sich in einem der beiden Submetze befindet. Wie ihr schon erkannt habt, scheiterte es daran, dass das Gateway nicht konfigurierbar war. Dem gehe ich mit dem zweiten Server aus dem Weg.

 

 

Viele Grüße

Matze

[Daniel -MSFT- 129]

Dein kernproblem ist, dass das Gateway, der NAT-Router, wissen muss, wohin er welche Pakete schicken muss. Stell Dir einfach vor, wie dessen Routingtabelle aussieht (falls Du sie nicht einsehen kannst). Für jedes IP-Subnetz, in dem das Gateway eine eigene Schnittstelle mit einer eigenen IP hat, kann es Pakete lokal abliefern. Für alle anderen Netze schickt es die Pakete an sein Default-Gateway, das heißt, in Richtung Internet.

 

Wenn Du jetzt in einem der lokalen Netze einen weiteren Router einbaust, der ein weiteres Netz dahinter erreichbar macht, muss das Gateway wissen, wohin es Pakete für dieses zusätzliche Netz schicken soll. Das kann es entweder lernen, wenn Du ein dynamisches Routingprotokoll benutzt (RIP, OSPF) oder das muss man ihm mit einer statischen Route sagen.

 

Wenn Du auf dem Gateway keine statische Route setzen kannst, muss der Internet-Zugriff aus dem zusätzlichen Netz hinter dem zweiten Router entweder durch die IP des zweiten Routers maskiert werden (z.b. per NAT oder Einsatz eines Proxies) oder es gibt kein Internet dort, weil die Pakete zwar zum Gateway kommen, das Gateway aber mangels Kenntnis einer entsprechenden Route die Antworten in die falsche Richtung schickt.

 

Netzwerkverkehr ist bidirektional. Du musst immer die Hin- und Rückrouten betrachten.

 

Have fun!
Daniel

[DonMatze 0]

Moin,

 

das mit dem NAT ist genau das, was ich meinte, da das eigentliche Gateway nicht konfiguriert werden kann ;).

Da ich den zweiten Router dann kontrolliere, kann ich dort die statische Route eintragen!

 

Vielen Dank für die hilfreichen Tipps!

 

 

Viele Grüße

Matze

[Daniel -MSFT- 129]

Ich fürchte, Du hast noch einen Knoten zu durchschlagen. Du brauchst bei dem zweiten Router keine statische Route eintragen. Das wäre auch wenn Du nur routen würdest sinnfrei und ist unabhängig vom NAT.

[DonMatze 0]

Und woher kennt der zweite Router dann das 192er Netz, wenn er nur im 10er ist?

Der erste posaunt das ja nicht per ARP hinaus, oder?

 

 

Viele Grüße

Matze

[Daniel -MSFT- 129]

Ich fürchte, Du bist immer noch ganz weit weg von der Lösung. Hier mal eine Skizze Deines Netzes (so wie ich sie verstanden habe):

 <Internet-IP-Adresse>
    .------------.
    | NAT-Router |
    °------------°
       10.0.2.2
          |
          |
          |
      10.0.2.15
     .---------.
     | W2k12R2 |
     °---------°
     192.168.0.1
          |
          |
          |
 .---.---.---.---.---.
 |   |   |   |   |   |
VM1 VM2 VM3 VM4 VM5 VM6

Der NAT-Router hat auf dem externen Interface eine öffentliche IP-Adresse aus dem Internet.Nehmen wir als Beispiel mal die 82.82.82.82/24 (also Netzwerkmaske 255.255.255.0) an. Auf dem internen Interface hat er die 10.0.2.2/24. Ohne weitere Konfiguration kann der NAT-Router per ARP auf der externen Seite alle Geräte erreichen, die als IP Adresse 82.82.82.0-82.82.82.255 und auf dem internen Interface alle mit 10.0.2.0 - 10.0.2.255. Zusätzlich hat er ein Standardgateway auf dem externen Interface, zum Beispiel 82.82.82.1. Alles, was er nicht lokal erreichen kann, wirft er dort ab.

 

Das Problem sind nun die VMs aus dem 192.168er Netz. Die haben als Standardgateway den W2k12R2 mit 192.168.0.1. Dort kippen sie alles ab, was sie nicht lokal erreichen. Der W2k12R2 wiederum macht mit den Paketen solange nichts, bis bei ihm IP-Forwarding eingeschaltet wird. Dann routet er zwischen 10.0.2.0/24 und 192.168.0.0/24. Alles was er selbst nicht lokal erreichen kann, gibt er bei bei seinem Standardgateway 10.0.2.2 ab.

 

Der Rückweg bleibt diesen Paketen aber versperrt, denn sie haben als Absender eine 192.168er Adresse und das NAT-Gateway kann nicht wissen, wohin es mit den Antworten für dieses Paket soll, solange es keine statische Route eingetragen bekommt, die besagt, dass alles Pakete für 192.168.0.0/24 an 10.0.2.15 gehen sollen oder es diese Route dynamisch lernt.

 

Wenn Du das nicht ändern kannst, dann musst Du entweder auf dem W2k12R2 RRAS nutzen, um das 192.168er Netz per NAT zu maskieren. Dann haben die Pakete von den VMs als Absendeadresse die 10.0.2.15. Damit kann der NAT-Router umkgangen werden und der Rückweg klappt. Leider kannst Du dann aus dem 10.0.2er Netz nicht einfach direkt auf VMs im 192.168er Netz zugreifen. Oder Du schaltest einen zweiten Router dazwischen, der auch NAT macht und der die Rückroute zum 192.168er Netz kennt:

 <Internet-IP-Adresse>
    .------------.
    | NAT-Router |
    °------------°
     10.0.2.2/24
          |
          |
          |
     10.0.2.1/24
    .------------.
    | NAT-Router |
    °------------°
     172.16.0.1/24
          |
          |
          |
    172.16.0.15/24
     .---------.
     | W2k12R2 |
     °---------°
    192.168.0.1/24
          |
          |
          |
 .---.---.---.---.---.
 |   |   |   |   |   |
VM1 VM2 VM3 VM4 VM5 VM6

Alternativ kannst Du auch eine VM als Router einsetzen und dieser eine virtuelle Netzwerkkarte im 10.0.2er Netz und eine im 192.168er Netz geben und die dann NAT machen lassen.

 

Mal eine ganz andere Frage: Was für ein NAT-Router nutzt Du eigentlich? Bist Du Dir sicher, dass Du dort keine weitere Route eintragen oder RIP aktivieren kannst?

bearbeitet 11. September 2014 von Daniel -MSFT-

[DonMatze 0]

Moin,

 

hätte ich gewusst, dass man so schöne Diagramme machen kann... Danke dir für die Mühe!

 

Der 10.0.2.2er NAT Router gehört zur VirtualBox. Deswegen kann der nicht konfiguriert werden.

Was ich nun realisieren will:

 NAT Translation zur Virtual Box
          |
          |
          |
    .--------------------------------------------------------------------------.
    | W2012R2 Nr. 2                                                            |
    | Hier statische Route ins 192.168.0.0/24 er Subnetz einrichten            |
    °--------------------------------------------------------------------------°
       10.0.2.2
          |
          |
          |
      10.0.2.15
     .---------.
     | W2k12R2 |
     °---------°
     192.168.0.1
          |
          |
          |
 .---.---.---.---.---.
 |   |   |   |   |   |
VM1 VM2 VM3 VM4 VM5 VM6

Wird so klarer, was ich meine?

 

 

Viele Grüße

Matze

bearbeitet 12. September 2014 von DonMatze

[Daniel -MSFT- 129]

Der NAT-Router ist mir immer noch unklar. Was genau benutzt Du da? Virtual Box auf einem W2012R2? Wie sieht der Teil des Netzwerks davor aus? Ich fürchte, Du musst hier mehr über die Rahmenbedingungen schreiben, sonst doktorn wir hier weiter an Deinen Problemen rum, ohne den Wald vor lauter Bäumen zu sehen. Hast Du das als Setup zu Hause? Oder ist das ein Server, den Du Dir irgendwo gemietet hast? Welche Limitierungen kannst Du nicht umgehen?

[DonMatze 0]

Moin,

 

das ganze läuft auf meinem Heim PC innerhalb von Virtual Box ab.

Dh. die ganze Infrastruktur ist virtuell. VirtualBox sorgt dafür, dass diese Subnetze überhaupt existieren mit der Option "Internes Netz". In diesen Internen Netzen spielt sich also alles virtuell ab, ich habe keinen Zugriff auf etwaige Switches, etc.

 

Bei der "NAT Translation zur VirtualBox" handelt es sich um ein Interface des Servers, welche in VirtualBox die Option "NAT" hat. Ab hier werden die Pakete in mein physikalisches Netz rüber transferiert und verlassen meine physische Netzwerkkarte. Ich habe den Eintrag oben noch einmal bearbeitet, um zu zeigen, dass damit eine Leitung gemeint war.

Meine Limitierung ist, dass ich den NAT Router der VirtualBox direkt am unteren Server hatte (der jetzt zwischen 192 und 10 vermittelt). Diesen kann ich in keinster Weise konfigurieren, weswegen ich den zweiten Server eingefügt habe.

 

Ich hoffe, das wird damit klarer?

 

 

Viele Grüße

Matze