2 netzwerkkarten im selben netz

[goorooj 0]

Hallo Forum,

 

was ich brauche ist die möglichkeit 2 netzwerkkarten im gleichen netz zu haben, beide listening, aber der outbound traffic geht nur über die mit dem konfigurierten gatweay. bei XP war das easy, bei windows 7 kriege ich das einfach nicht hin, die 2. karte ist einfach nicht erreichbar....

 

grund: ich habe ein problem mit cisco vpn:

wenn ich mich mit dem vpn verbinde, blockt cisco mein internes netz.

 

das ist insofern b***d, als dass wir verdammt viele kunden haben die das nutzen und wir für jeden kunden eine eigene VM auf dem server haben, die ein für ihn eingestelltes VPN in der ihm genehmen marke und version haben, die ganzen vpns kommen sich sonst recht schnell in die quere... diese soll ich jetzt auf win7 umziehen.

 

die XP VMs wurden von den supportmitarbeitern per remote desktop connection angesteuert... das ist eigentlich ein grundsätzliches problem, in dem moment in dem der vpn client anspringt ist logischerweise die remote desktop connection weg. bei win7 soll das genau gleich funktionieren.

 

bei XP war es möglich 2 netzwerkkarten am rechner einzurichten, beide im selben netz, per dhcp beiden eine adresse zu vergeben, eine ausgehend mit standardgateway... bei der karte OHNE standardgateway den haken bei deterministic network enhancer weg, dann sieht der cisco client die karte nicht mehr, sperrt die auch nicht und die remote desktop connection bleibt bestehen.

 

gleich vorweg für alle die jetzt in den doziermodus kommen wollen dass das von cisco ja nicht so gedacht ist etc bla bla ... siehe anhang. das müllt nur den thread zu.

[zahni 550]

Hallo du willkommen im Forum,

 

hatten wir nicht vor längerer Zeit mal so einen ähnlichen Fall? Egal.

Warum blockt "Cisico" Dein internes Netz? Dann musst Du "Cisco" oder Deinen VPN-Client richtig konfigurieren.

2 NIC's im gleichen Netz bewirken i.d.R. eine Lastverteilung auf beide Karten.

Oder Du musst die interne Routing-Tabelle exakt konfigurieren Was dann aber auch mit einer NIC machbar ist.

[NilsK 2.921]

Moin,

 

2 NIC's im gleichen Netz bewirken i.d.R. eine Lastverteilung auf beide Karten.

 

nein, das ist so nicht richtig. Dafür müssen die Karten i.d.R. als Team konfiguriert sein. Und noch dazu braucht man Applikationen, die mehrere Netzwerkverbindungen parallel laufen lassen können. Sonst verteilt sich da gar nichts.

 

Gruß, Nils

[zahni 550]

Vielleicht drückte ich mich falsch aus. Windows versucht eine Art Round Robin bei neuen ausgehenden Verbindungen. Verbindungsanfragen werden nicht zwangsläufig über das eingehende Interface beantwortet .

Speziell, wenn beide Interfaces ein Default Gateway besitzen.

 

Siehe auch http://support.microsoft.com/kb/175767/EN-US

bearbeitet 13. Oktober 2014 von zahni

[NeMiX 76]

Hast du es mal mit Route von Hand setzen mit "IF x" probiert bevor du den VPN connectest?

Das interface bekommst du mit route print heraus, dort hochscrollen und du bekommst die "Schnittstellenliste".

 

Generell solltet Ihr vlt. mal Anfragen ob das a) so erlaubt ist was Ihr da vorhabt und falls ja ob Ihr b) Split Tunneling für euch aktivieren könnt.

Vor allem a) kann einem bei größeren Konzernen direkt verboten werden da Ihr Split Tunneling damit quasi umgeht. Ich kenne aber auch VPN Clients die alle anderen Schnittstellen deaktivieren sobald man sich connected.

 

Das Windows 7 habt Ihr richtig lizenziert?

[NilsK 2.921]

Moin,

 

Vielleicht drückte ich mich falsch aus. Windows versucht eine Art Round Robin bei neuen ausgehenden Verbindungen. Verbindungsanfragen werden nicht zwangsläufig über das eingehende Interface beantwortet .

Speziell, wenn beide Interfaces ein Default Gateway besitzen.

 

Siehe auch http://support.microsoft.com/kb/175767/EN-US

 

naja, so in etwa. Mit Ausnahme sehr weniger Spezialfälle ist so eine Konfiguration eher als Fehlkonfiguration zu bewerten.

 

Gruß, Nils

[goorooj 0]

@zahni: der cisco client blockt das interne netz wenn du dich per vpn verbindest. das kann man nicht am client konfigurieren. ->split tunneling.

der client installiert einen "deterministic network enhancer" was eine art firewall ist. allerdings kannst du genau diese "firewall" je netzwerkkarte deaktivieren, indem man einen haken in dem entsprechenden kästchen setzt, dann kann man über die 2. karte ( die ohne haken ) den rechner eben noch erreichen.

man kann ihn aber nur erreichen, die ausgehenden verbindungen vom rechner gehen dann nur übers VPN.

 

@nemix: wenn ich jetzt eine route auf dem alten xp rechner setze kann ich dann sogar vom xp raus auf mein netzwerk UND auf die VPN, aber das muss ich gar nicht. raus ist egal, mir ist nur wichtig dass der rechner nicht seine verbindung ins interne netz verliert damit ich ihn weiter über terminal client erreiche.

yep, it´s wood... NATÜRLICH ist das nicht so gedacht, und NATÜRLICH will der cisco client deswegen dass die verbindungen abgewürgt werden. aber rechne selber: haufenweise kunden >10.000 mitarbeiter, jeder andere vpn-clients die sich gegenseitig behindern... das geht nur per xen. wir haben extra einen neuen server mit 128GB speicher und 16 kernen für unter anderem die ganzen neuen support- und testmaschinen angeschafft als alle von 2003 auf 2008 server umgestiegen sind. ich muss ja nicht nur auf der einen seite beim kunden per vpn irgendwas machen, ich muss ja auch auf dem anderen bildschirm die vm-installation vom kundenserver bei uns laufen haben damit ich was sehen kann. teilweise reden wir ja auch über alte HP-UX und Solaris kisten, auf die ich bei uns per ssh zugreifen muss während ich auf der anderen seite beim kunden eingeloggt bin.

klar ist windows 7 richtig lizensiert, wir haben volumenlizenzen und ausserdem noch einen haufen MSDN abos... wir haben im augenblick etwa 70 windows server als vms laufen...

 

so, hier mal ein kleiner auszug aus der alten xp-maschine, auf der das funktioniert ( vpn ausgeschaltet ), so soll das auf windows7 auch wieder werden:

 

Windows-IP-Konfiguration
        Hostname. . . . . . . . . . . . . : xxxxx
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Hybrid
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein
        DNS-Suffixsuchliste . . . . . . . : xx.com
                                            xx.com
Ethernetadapter LAN-Verbindung:
        Verbindungsspezifisches DNS-Suffix: xx.com
        Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
        Physikalische Adresse . . . . . . : 00-0C-29-B5-5B-51
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 192.168.129.188
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.129.1
        DHCP-Server . . . . . . . . . . . : 192.168.129.119
        DNS-Server. . . . . . . . . . . . : 192.168.129.119
        Primärer WINS-Server. . . . . . . : 192.168.129.102
        Lease erhalten. . . . . . . . . . : Dienstag, 14. Oktober 2014 05:33:52
        Lease läuft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 16:33:52
 

Ethernetadapter LAN-Verbindung 3:
        Verbindungsspezifisches DNS-Suffix: xx.com
        Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter #2
        Physikalische Adresse . . . . . . : 00-0C-29-B5-5B-5B
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 192.168.129.235
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.129.1
        DHCP-Server . . . . . . . . . . . : 192.168.129.119
        DNS-Server. . . . . . . . . . . . : 192.168.129.119
        Primärer WINS-Server. . . . . . . : 192.168.129.102
        Lease erhalten. . . . . . . . . . : Dienstag, 14. Oktober 2014 05:33:57

        Lease läuft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 16:33:57
 

kann jetzt leider kein bild mehr anhängen sonst hätte ich den screenshot von den netzwerkeinstellungen auch noch angehängt.

 

hier die routen, ganz normal, nix eingetragen

 

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 0c 29 b5 5b 51 ...... VMware Accelerated AMD PCNet Adapter - Paketplaner-Miniport
0x10004 ...00 0c 29 b5 5b 5b ...... VMware Accelerated AMD PCNet Adapter #2 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    192.168.129.1  192.168.129.188      10
          0.0.0.0          0.0.0.0    192.168.129.1  192.168.129.235      10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
    192.168.129.0    255.255.255.0  192.168.129.188  192.168.129.188      10
    192.168.129.0    255.255.255.0  192.168.129.235  192.168.129.235      10
  192.168.129.188  255.255.255.255        127.0.0.1       127.0.0.1      10
  192.168.129.235  255.255.255.255        127.0.0.1       127.0.0.1      10
  192.168.129.255  255.255.255.255  192.168.129.188  192.168.129.188      10
  192.168.129.255  255.255.255.255  192.168.129.235  192.168.129.235      10
        224.0.0.0        240.0.0.0  192.168.129.188  192.168.129.188      10
        224.0.0.0        240.0.0.0  192.168.129.235  192.168.129.235      10
  255.255.255.255  255.255.255.255  192.168.129.188  192.168.129.188      1
  255.255.255.255  255.255.255.255  192.168.129.235  192.168.129.235      1
Standardgateway:     192.168.129.1
===========================================================================
St„ndige Routen:
  Keine
 

auf der windows 7 maschine siehts so aus dass die 2. karte wenn sie auf dhcp eingestellt ist noch nicht mal die adresse abholt sondern auf eine microsoft-169 adresse geht.... hab jetzt eine feste adresse eingestellt aber ping sagt zielhost nicht erreichbar...

 

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : xxxxx
   Prim„res DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : xx.com

Ethernet-Adapter LAN-Verbindung 2:

   Verbindungsspezifisches DNS-Suffix: xx.com
   Beschreibung. . . . . . . . . . . : Realtek RTL8139C+-Fast-Ethernet-Netzwerkkarte #2
   Physikalische Adresse . . . . . . : F2-C6-E1-A5-9A-33
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::dc58:5551:fca2:d200%12(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.129.186(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 13. Oktober 2014 16:26:45
   Lease l„uft ab. . . . . . . . . . : Dienstag, 14. Oktober 2014 19:58:25
   Standardgateway . . . . . . . . . : 192.168.129.1
   DHCP-Server . . . . . . . . . . . : 192.168.129.119
   DHCPv6-IAID . . . . . . . . . . . : 301123297
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-90-A1-17-AE-73-CB-2C-14-54
   DNS-Server  . . . . . . . . . . . : 192.168.129.119
   Prim„rer WINS-Server. . . . . . . : 192.168.129.102
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Realtek RTL8139C+-Fast-Ethernet-Netzwerkkarte
   Physikalische Adresse . . . . . . : AE-73-CB-2C-14-54
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::e041:d0ca:fbd6:65b3%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.129.251(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.129.1
   DHCPv6-IAID . . . . . . . . . . . : 246313931
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-90-A1-17-AE-73-CB-2C-14-54
   DNS-Server  . . . . . . . . . . . : 192.168.129.119
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{03013ECB-6426-48A1-A9C4-D4B222BC3DD8}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.sf.com:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
 

bearbeitet 14. Oktober 2014 von goorooj

[NeMiX 76]

yep, it´s wood... NATÜRLICH ist das nicht so gedacht, und NATÜRLICH will der cisco client deswegen dass die verbindungen abgewürgt werden. aber rechne selber: haufenweise kunden >10.000 mitarbeiter, jeder andere vpn-clients die sich gegenseitig behindern

 

 

Würde bei uns einer mitbekommen das Ihr als Partner sowas bastelt und die Policy umgeht, würde man euren Zugang direkt kappen. Ich weiß das so was echt nervig sein kann, auch ich muss teilweise von Jumphost zu Jumphost springen um im passenden Netz zu landen, aber da wird sich jemand was bei gedacht haben. Deine Aussage das so was nur mit XEN geht brachte mich zum schmunzeln, soll ja noch andere VM Umgebungen geben ;).

 

Was passiert den wenn du ein Route Add mit -if 0x10003 (falls das euer LAN ist) durchführst auf der Win7 Maschine?

[goorooj 0]

naja, du siehst ja dass die alten maschinen auf vmware liefen... soviel dazu :-) ausserdem war die policy nie offiziell, niemandem wurde je mitgeteilt dass der netzwerkzugriff ins eigene netz abgeschaltet werden muss wenn man sich per vpn verbindet. der BUG des cisco wurde nur von uns behoben :-) war auch so im web zu finden.

 

route add bringt nix, die 2. karte wird irgendwie geblockt.

 

ich hatte grade eine idee, ich baue jetzt noch ein virtuelles netz auf dem xen mit anderem subnetz, häng da die 2. karte ein, und schau mal ob windows die karte dann aktiviert.

gebe dann bescheid ob das klappt.

bearbeitet 14. Oktober 2014 von goorooj

[Dr.Melzer 191]

@goorooj:

 

Erst mal willkommen bei MCSEboard.de, schön dass du uns gefunden hast.

Bitte achte darauf in deinen Beiträgen auch Großbuchstaben zu benutzen. Für uns sind Beiträge die konsequent in Kleinschreibung verfasst sind schwer lesbar und dadurch wird deine Fragestellung für uns auch schwerer verständlich. Wir können dir aber nur dann wirklich gut helfen, wenn wir dein Problem gut verstanden haben.

Je besser deine Beiträge für uns lesbar und verstehbar sind, umso besser können wir dir helfen.

 

Wie siehst du das?

[goorooj 0]

So, kurze Rückmeldung:

 

DMZ mit DHCP erstellt, Xen mit einem Port physisch in die dmz gehängt, VM darüber in die DMZ, 2. Karte wieder auf DHCP umgestellt, DHCP Adresse geben lassen, funktioniert. Sonst nichts im Windows geändert. DMZ hat Internet-Gateway.

Beide Karten mit Gateway und Internetzugriff.

 

edit:

 

VPN connected zwar, geht aber so nicht. DHCP auf der 1. karte ( die im internen netz ) deaktivieren, per hand adresse eingeben und gateway weglassen. gateway ist ausschliesslich in der dmz. den deterministic network enhancer auf dieser karte auch weghakeln.

dann kann ich im entfernten netzwerk nach der vpn-einrichtung auch alles erreichen, habe halt keinen internetzugang in dem moment weil das gateway auf der karte liegt die das vpn nutzt, , kann aber ins interne netz und den rechner aus dem internen netz auch erreichen.

 

danke für eure beiträge.

bearbeitet 16. Oktober 2014 von goorooj