goorooj 0 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Hallo Forum, was ich brauche ist die möglichkeit 2 netzwerkkarten im gleichen netz zu haben, beide listening, aber der outbound traffic geht nur über die mit dem konfigurierten gatweay. bei XP war das easy, bei windows 7 kriege ich das einfach nicht hin, die 2. karte ist einfach nicht erreichbar.... grund: ich habe ein problem mit cisco vpn: wenn ich mich mit dem vpn verbinde, blockt cisco mein internes netz. das ist insofern b***d, als dass wir verdammt viele kunden haben die das nutzen und wir für jeden kunden eine eigene VM auf dem server haben, die ein für ihn eingestelltes VPN in der ihm genehmen marke und version haben, die ganzen vpns kommen sich sonst recht schnell in die quere... diese soll ich jetzt auf win7 umziehen. die XP VMs wurden von den supportmitarbeitern per remote desktop connection angesteuert... das ist eigentlich ein grundsätzliches problem, in dem moment in dem der vpn client anspringt ist logischerweise die remote desktop connection weg. bei win7 soll das genau gleich funktionieren. bei XP war es möglich 2 netzwerkkarten am rechner einzurichten, beide im selben netz, per dhcp beiden eine adresse zu vergeben, eine ausgehend mit standardgateway... bei der karte OHNE standardgateway den haken bei deterministic network enhancer weg, dann sieht der cisco client die karte nicht mehr, sperrt die auch nicht und die remote desktop connection bleibt bestehen. gleich vorweg für alle die jetzt in den doziermodus kommen wollen dass das von cisco ja nicht so gedacht ist etc bla bla ... siehe anhang. das müllt nur den thread zu. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Hallo du willkommen im Forum, hatten wir nicht vor längerer Zeit mal so einen ähnlichen Fall? Egal. Warum blockt "Cisico" Dein internes Netz? Dann musst Du "Cisco" oder Deinen VPN-Client richtig konfigurieren. 2 NIC's im gleichen Netz bewirken i.d.R. eine Lastverteilung auf beide Karten. Oder Du musst die interne Routing-Tabelle exakt konfigurieren Was dann aber auch mit einer NIC machbar ist. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Moin, 2 NIC's im gleichen Netz bewirken i.d.R. eine Lastverteilung auf beide Karten. nein, das ist so nicht richtig. Dafür müssen die Karten i.d.R. als Team konfiguriert sein. Und noch dazu braucht man Applikationen, die mehrere Netzwerkverbindungen parallel laufen lassen können. Sonst verteilt sich da gar nichts. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Vielleicht drückte ich mich falsch aus. Windows versucht eine Art Round Robin bei neuen ausgehenden Verbindungen. Verbindungsanfragen werden nicht zwangsläufig über das eingehende Interface beantwortet . Speziell, wenn beide Interfaces ein Default Gateway besitzen. Siehe auch http://support.microsoft.com/kb/175767/EN-US bearbeitet 13. Oktober 2014 von zahni Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Hast du es mal mit Route von Hand setzen mit "IF x" probiert bevor du den VPN connectest? Das interface bekommst du mit route print heraus, dort hochscrollen und du bekommst die "Schnittstellenliste". Generell solltet Ihr vlt. mal Anfragen ob das a) so erlaubt ist was Ihr da vorhabt und falls ja ob Ihr b) Split Tunneling für euch aktivieren könnt. Vor allem a) kann einem bei größeren Konzernen direkt verboten werden da Ihr Split Tunneling damit quasi umgeht. Ich kenne aber auch VPN Clients die alle anderen Schnittstellen deaktivieren sobald man sich connected. Das Windows 7 habt Ihr richtig lizenziert? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 14. Oktober 2014 Melden Teilen Geschrieben 14. Oktober 2014 Moin, Vielleicht drückte ich mich falsch aus. Windows versucht eine Art Round Robin bei neuen ausgehenden Verbindungen. Verbindungsanfragen werden nicht zwangsläufig über das eingehende Interface beantwortet . Speziell, wenn beide Interfaces ein Default Gateway besitzen. Siehe auch http://support.microsoft.com/kb/175767/EN-US naja, so in etwa. Mit Ausnahme sehr weniger Spezialfälle ist so eine Konfiguration eher als Fehlkonfiguration zu bewerten. Gruß, Nils Zitieren Link zu diesem Kommentar
goorooj 0 Geschrieben 14. Oktober 2014 Autor Melden Teilen Geschrieben 14. Oktober 2014 (bearbeitet) @zahni: der cisco client blockt das interne netz wenn du dich per vpn verbindest. das kann man nicht am client konfigurieren. ->split tunneling. der client installiert einen "deterministic network enhancer" was eine art firewall ist. allerdings kannst du genau diese "firewall" je netzwerkkarte deaktivieren, indem man einen haken in dem entsprechenden kästchen setzt, dann kann man über die 2. karte ( die ohne haken ) den rechner eben noch erreichen. man kann ihn aber nur erreichen, die ausgehenden verbindungen vom rechner gehen dann nur übers VPN. @nemix: wenn ich jetzt eine route auf dem alten xp rechner setze kann ich dann sogar vom xp raus auf mein netzwerk UND auf die VPN, aber das muss ich gar nicht. raus ist egal, mir ist nur wichtig dass der rechner nicht seine verbindung ins interne netz verliert damit ich ihn weiter über terminal client erreiche. yep, it´s wood... NATÜRLICH ist das nicht so gedacht, und NATÜRLICH will der cisco client deswegen dass die verbindungen abgewürgt werden. aber rechne selber: haufenweise kunden >10.000 mitarbeiter, jeder andere vpn-clients die sich gegenseitig behindern... das geht nur per xen. wir haben extra einen neuen server mit 128GB speicher und 16 kernen für unter anderem die ganzen neuen support- und testmaschinen angeschafft als alle von 2003 auf 2008 server umgestiegen sind. ich muss ja nicht nur auf der einen seite beim kunden per vpn irgendwas machen, ich muss ja auch auf dem anderen bildschirm die vm-installation vom kundenserver bei uns laufen haben damit ich was sehen kann. teilweise reden wir ja auch über alte HP-UX und Solaris kisten, auf die ich bei uns per ssh zugreifen muss während ich auf der anderen seite beim kunden eingeloggt bin. klar ist windows 7 richtig lizensiert, wir haben volumenlizenzen und ausserdem noch einen haufen MSDN abos... wir haben im augenblick etwa 70 windows server als vms laufen... so, hier mal ein kleiner auszug aus der alten xp-maschine, auf der das funktioniert ( vpn ausgeschaltet ), so soll das auf windows7 auch wieder werden: Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : xxxxx Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xx.com xx.comEthernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: xx.com Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : 00-0C-29-B5-5B-51 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.129.188 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.129.1 DHCP-Server . . . . . . . . . . . : 192.168.129.119 DNS-Server. . . . . . . . . . . . : 192.168.129.119 Primärer WINS-Server. . . . . . . : 192.168.129.102 Lease erhalten. . . . . . . . . . : Dienstag, 14. Oktober 2014 05:33:52 Lease läuft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 16:33:52 Ethernetadapter LAN-Verbindung 3: Verbindungsspezifisches DNS-Suffix: xx.com Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter #2 Physikalische Adresse . . . . . . : 00-0C-29-B5-5B-5B DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.129.235 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.129.1 DHCP-Server . . . . . . . . . . . : 192.168.129.119 DNS-Server. . . . . . . . . . . . : 192.168.129.119 Primärer WINS-Server. . . . . . . : 192.168.129.102 Lease erhalten. . . . . . . . . . : Dienstag, 14. Oktober 2014 05:33:57 Lease läuft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 16:33:57 kann jetzt leider kein bild mehr anhängen sonst hätte ich den screenshot von den netzwerkeinstellungen auch noch angehängt. hier die routen, ganz normal, nix eingetragen ===========================================================================Schnittstellenliste0x1 ........................... MS TCP Loopback interface0x10003 ...00 0c 29 b5 5b 51 ...... VMware Accelerated AMD PCNet Adapter - Paketplaner-Miniport0x10004 ...00 0c 29 b5 5b 5b ...... VMware Accelerated AMD PCNet Adapter #2 - Paketplaner-Miniport======================================================================================================================================================Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.129.1 192.168.129.188 10 0.0.0.0 0.0.0.0 192.168.129.1 192.168.129.235 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.129.0 255.255.255.0 192.168.129.188 192.168.129.188 10 192.168.129.0 255.255.255.0 192.168.129.235 192.168.129.235 10 192.168.129.188 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.129.235 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.129.255 255.255.255.255 192.168.129.188 192.168.129.188 10 192.168.129.255 255.255.255.255 192.168.129.235 192.168.129.235 10 224.0.0.0 240.0.0.0 192.168.129.188 192.168.129.188 10 224.0.0.0 240.0.0.0 192.168.129.235 192.168.129.235 10 255.255.255.255 255.255.255.255 192.168.129.188 192.168.129.188 1 255.255.255.255 255.255.255.255 192.168.129.235 192.168.129.235 1Standardgateway: 192.168.129.1===========================================================================St„ndige Routen: Keine auf der windows 7 maschine siehts so aus dass die 2. karte wenn sie auf dhcp eingestellt ist noch nicht mal die adresse abholt sondern auf eine microsoft-169 adresse geht.... hab jetzt eine feste adresse eingestellt aber ping sagt zielhost nicht erreichbar... Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : xxxxx Prim„res DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xx.comEthernet-Adapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: xx.com Beschreibung. . . . . . . . . . . : Realtek RTL8139C+-Fast-Ethernet-Netzwerkkarte #2 Physikalische Adresse . . . . . . : F2-C6-E1-A5-9A-33 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::dc58:5551:fca2:d200%12(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.129.186(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Montag, 13. Oktober 2014 16:26:45 Lease l„uft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 19:58:25 Standardgateway . . . . . . . . . : 192.168.129.1 DHCP-Server . . . . . . . . . . . : 192.168.129.119 DHCPv6-IAID . . . . . . . . . . . : 301123297 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-90-A1-17-AE-73-CB-2C-14-54 DNS-Server . . . . . . . . . . . : 192.168.129.119 Prim„rer WINS-Server. . . . . . . : 192.168.129.102 NetBIOS ber TCP/IP . . . . . . . : AktiviertEthernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Realtek RTL8139C+-Fast-Ethernet-Netzwerkkarte Physikalische Adresse . . . . . . : AE-73-CB-2C-14-54 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::e041:d0ca:fbd6:65b3%11(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.129.251(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.129.1 DHCPv6-IAID . . . . . . . . . . . : 246313931 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-90-A1-17-AE-73-CB-2C-14-54 DNS-Server . . . . . . . . . . . : 192.168.129.119 NetBIOS ber TCP/IP . . . . . . . : AktiviertTunneladapter isatap.{03013ECB-6426-48A1-A9C4-D4B222BC3DD8}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : JaTunneladapter isatap.sf.com: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja bearbeitet 14. Oktober 2014 von goorooj Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. Oktober 2014 Melden Teilen Geschrieben 14. Oktober 2014 yep, it´s wood... NATÜRLICH ist das nicht so gedacht, und NATÜRLICH will der cisco client deswegen dass die verbindungen abgewürgt werden. aber rechne selber: haufenweise kunden >10.000 mitarbeiter, jeder andere vpn-clients die sich gegenseitig behindern Würde bei uns einer mitbekommen das Ihr als Partner sowas bastelt und die Policy umgeht, würde man euren Zugang direkt kappen. Ich weiß das so was echt nervig sein kann, auch ich muss teilweise von Jumphost zu Jumphost springen um im passenden Netz zu landen, aber da wird sich jemand was bei gedacht haben. Deine Aussage das so was nur mit XEN geht brachte mich zum schmunzeln, soll ja noch andere VM Umgebungen geben ;). Was passiert den wenn du ein Route Add mit -if 0x10003 (falls das euer LAN ist) durchführst auf der Win7 Maschine? Zitieren Link zu diesem Kommentar
goorooj 0 Geschrieben 14. Oktober 2014 Autor Melden Teilen Geschrieben 14. Oktober 2014 (bearbeitet) naja, du siehst ja dass die alten maschinen auf vmware liefen... soviel dazu :-) ausserdem war die policy nie offiziell, niemandem wurde je mitgeteilt dass der netzwerkzugriff ins eigene netz abgeschaltet werden muss wenn man sich per vpn verbindet. der BUG des cisco wurde nur von uns behoben :-) war auch so im web zu finden. route add bringt nix, die 2. karte wird irgendwie geblockt. ich hatte grade eine idee, ich baue jetzt noch ein virtuelles netz auf dem xen mit anderem subnetz, häng da die 2. karte ein, und schau mal ob windows die karte dann aktiviert. gebe dann bescheid ob das klappt. bearbeitet 14. Oktober 2014 von goorooj Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 14. Oktober 2014 Melden Teilen Geschrieben 14. Oktober 2014 @goorooj: Erst mal willkommen bei MCSEboard.de, schön dass du uns gefunden hast. Bitte achte darauf in deinen Beiträgen auch Großbuchstaben zu benutzen. Für uns sind Beiträge die konsequent in Kleinschreibung verfasst sind schwer lesbar und dadurch wird deine Fragestellung für uns auch schwerer verständlich. Wir können dir aber nur dann wirklich gut helfen, wenn wir dein Problem gut verstanden haben. Je besser deine Beiträge für uns lesbar und verstehbar sind, umso besser können wir dir helfen. Wie siehst du das? Zitieren Link zu diesem Kommentar
goorooj 0 Geschrieben 16. Oktober 2014 Autor Melden Teilen Geschrieben 16. Oktober 2014 (bearbeitet) So, kurze Rückmeldung: DMZ mit DHCP erstellt, Xen mit einem Port physisch in die dmz gehängt, VM darüber in die DMZ, 2. Karte wieder auf DHCP umgestellt, DHCP Adresse geben lassen, funktioniert. Sonst nichts im Windows geändert. DMZ hat Internet-Gateway. Beide Karten mit Gateway und Internetzugriff. edit: VPN connected zwar, geht aber so nicht. DHCP auf der 1. karte ( die im internen netz ) deaktivieren, per hand adresse eingeben und gateway weglassen. gateway ist ausschliesslich in der dmz. den deterministic network enhancer auf dieser karte auch weghakeln. dann kann ich im entfernten netzwerk nach der vpn-einrichtung auch alles erreichen, habe halt keinen internetzugang in dem moment weil das gateway auf der karte liegt die das vpn nutzt, , kann aber ins interne netz und den rechner aus dem internen netz auch erreichen. danke für eure beiträge. bearbeitet 16. Oktober 2014 von goorooj Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.