schaefersio 0 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 Hallo liebe Community, im Internet betreiben wir einen Ubuntu Server auf dem der Wireguard Dienst läuft. Diesen nutzen wir als Server, /etc/wireguard/wg0.conf sieht wie folgt aus: [Interface] Address = 10.0.0.1/24 ListenPort = 34395 PrivateKey = XXXXX PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6table$ PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tab$ # AP01 [Peer] PublicKey = XXXXX AllowedIPs = 10.0.0.11/32 # AP-02 [Peer] PublicKey = XXXXX AllowedIPs = 10.0.0.12/32 # AP-03 [Peer] PublicKey = XXXXX AllowedIPs = 10.0.0.13/32 # WINDOWS-SERVER DC01 [Peer] PublicKey = XXXXX AllowedIPs = 10.0.0.10/32 # NB-01 [Peer] PublicKey = XXXXX AllowedIPs = 10.0.0.100/32 Die Wireguard Verbindung des Windows 2019 Servers, der als PDC, AD, DNS Server eingerichtet ist, ist fest im Netzwerk auf 192.168.100.111 konfiguriert. Seine Wireguard Config sieht so aus: [Interface] PrivateKey = XXXXX Address = 10.0.0.10/32 DNS = 192.168.100.111, 10.0.0.1, 8.8.8.8 [Peer] PublicKey = XXXXX AllowedIPs = 185.56.XXX.XX/32, 10.0.0.0/24 Endpoint = 94.130.25.52:34395 PersistentKeepalive = 60 Damit wollen wir erreichen, dass alle Anfragen zu bestimmen IP-Adressen über den Wireguardserver getunnelt werden und dessen IP genutzt wird. Das funktioniert auch alles super und so wie es laufen soll. Das Problem: Wenn auf dem Windows 2019 Server den Wireguarddienst aktiv ist, kann ich nicht mehr auf AD User and Computer zugreifen. Das Tool öffnet sich nicht mehr. Im lokalen Netzwerk hat der Server die 192.168.100.111 - im WG Netzwerk die 10.0.0.10 Im Eventlog des DNS Servers steht: Der DNS-Server konnte den Socket für die Adresse 10.0.0.10 nicht öffnen. Überprüfen Sie, ob diese IP-Adresse auf dem Servercomputer gültig ist. Verwenden Sie im DNS-Manager das Eigenschaftenfenster des Servers und dort die Registerkarte "Schnittstellen", um diese Adresse gegebenenfalls von der Adressliste zu entfernen. Starten Sie den DNS-Server danach erneut. (Falls diese Adresse die einzige IP-Schnittstelle auf diesem Computer war, konnte der DNS-Server wahrscheinlich aufgrund dieses Fehlers nicht starten. In diesem Fall entfernen Sie den Eintrag "ListenAddress" in der Registrierung unter "\Services\DNS\Parameters", und führen Sie einen Neustart durch.) Wenn diese IP-Adresse auf dem Computer gültig ist, sollten Sie sicherstellen, dass keine andere Anwendung (z.B. ein anderer DNS-Server) aktiv ist, die versucht, auf den DNS-Port zuzugreifen. Weitere Informationen hierzu finden Sie in der Onlinehilfe im Abschnitt "DNS-Serverprotokollierungsreferenz". DNS-Server: Ein TCP (Transmission Control Protocol)-Socket konnte nicht an die Adresse 10.0.0.10 gebunden werden. Die Ereignisdaten ergeben den Fehlercode. Die IP-Adresse 0.0.0.0 kann bedeuten, dass von einem Socket alle konfigurierten IP-Adressen des Computers verwendet werden (eine gültige Konfiguration). Starten Sie den DNS-Server bzw. den Computer neu. Die Konfiguration des DNS Servers habe ich mal als Screenshot beigefügt. Kann mir vielleicht jemand helfen und sagen, was ich hier als Anfänger falsch gemacht habe oder was ich übersehe? Vielen Dank und viele Grüße Sebastian Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 Hi, wenn ihr jetzt anstelle von OpenVPN (https://www.mcseboard.de/topic/218488-von-ad-clients-win10-rdp-verbindung-über-server-win2019-openvpn-verbindung-herstellen) Wireguard _auf dem_ DC nutzt, ändert sich nichts daran, dass das keine gute Idee ist. Eines der daraus resultierenden Probleme erlebst du ja grade. Auch für Wireguard würde ich einen dedizierten Router / ein dediziertes Gateway empfehlen. Gruß Jan Zitieren Link zu diesem Kommentar
schaefersio 0 Geschrieben 22. August 2020 Autor Melden Teilen Geschrieben 22. August 2020 Danke Jan, aber das sind zwei völlig voneinander losgelöste Themen. Es wäre schön, wenn man vielleicht eine Hilfestellung zur Lösung bekommt, wenn das eigentliche Problem ist doch hoch anders gelagert: Wireguard wird auf einem Windows 2019 Server mit DNS installiert und danach kann ich auf die AD Tools User und Computer nicht mehr zugreifen. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 Die Auswirkungen, die bei Dir zu sehen sind, zeigen ganz deutlich, dass das Produkt nicht dafür geeignet ist auf einem Domaincontroller betrieben zu werden. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 vor 3 Minuten schrieb MurdocX: Die Auswirkungen, die bei Dir zu sehen sind, zeigen ganz deutlich, dass das Produkt nicht dafür geeignet ist auf einem Domaincontroller betrieben zu werden. Wobei ein DC ein DC ein DC ist - nicht mehr und nicht weniger - . Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 vor 3 Stunden schrieb schaefersio: Es wäre schön, wenn man vielleicht eine Hilfestellung zur Lösung bekommt, wenn das eigentliche Problem ist doch hoch anders gelagert: Wireguard wird auf einem Windows 2019 Server mit DNS installiert und danach kann ich auf die AD Tools User und Computer nicht mehr zugreifen. Auch wenn es zwei vollkommen losgelöste Umgebungen mit je einem remote 10er und lokalem 192.168er Netz sind, bleibt das Problem dennoch identisch. Dazu ein drei Stichworte als "Hilfestellung": Multihomed Domain Controller Auch wenn du es nicht hören willst: Mach es einfach direkt richtig. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 vor 3 Stunden schrieb Nobbyaushb: Wobei ein DC ein DC ein DC ist - nicht mehr und nicht weniger - . Da bin ich zu 100% bei Dir. 1 Zitieren Link zu diesem Kommentar
schaefersio 0 Geschrieben 22. August 2020 Autor Melden Teilen Geschrieben 22. August 2020 vor 4 Stunden schrieb testperson: Auch wenn es zwei vollkommen losgelöste Umgebungen mit je einem remote 10er und lokalem 192.168er Netz sind, bleibt das Problem dennoch identisch. Dazu ein drei Stichworte als "Hilfestellung": Multihomed Domain Controller Auch wenn du es nicht hören willst: Mach es einfach direkt richtig. Danke! aber wie mache ich es denn richtig aus eurer Sicht? Denn so lösungsorientiert seid ihr ja nicht unterwegs. Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. August 2020 Melden Teilen Geschrieben 22. August 2020 Erstmal vorweg - ich bin weit davon entfernt ein Netzwerkprofi zu sein. Du hast Dir für eine gegebene Aufgabe eine Lösung/Strategie überlegt und hast mit dieser speziellen Lösung/Strategie ein Problem und suchst jetzt hier Hilfe zu diesem speziellen Problem. Eventuell ist aber schon Deine Lösung/Strategie fehlerhaft und Du hättest die Frage früher und ergebnisoffener stellen sollen. Dein Problem ist also eher kein technisches sondern ein kommunikatives. Das nennt man auch X-Y-Problem. Du hattest doch in dem älteren, hier weiter oben bereits verlinkten Beitrag die Antwort bereits akzeptiert - was ist daran falsch? 1 Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 23. August 2020 Melden Teilen Geschrieben 23. August 2020 vor 7 Stunden schrieb schaefersio: Danke! aber wie mache ich es denn richtig aus eurer Sicht? Denn so lösungsorientiert seid ihr ja nicht unterwegs. Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. Dann zitiere ich mich mal aus der ersten Antwort selber: vor 15 Stunden schrieb testperson: Auch für Wireguard würde ich einen dedizierten Router / ein dediziertes Gateway empfehlen. 3 Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 23. August 2020 Melden Teilen Geschrieben 23. August 2020 (bearbeitet) vor 13 Stunden schrieb schaefersio: Dachte hier sind Profis die einem bei einem Problem Ratschläge geben und nicht Leute die einem nur zeigen dass sie es besser könnten. Bei der von Dir gebauten Ausgangslage solltest Du einen Bastler konsultieren. Ansonsten siehe ein Beitrag höher bearbeitet 23. August 2020 von mba 1 1 Zitieren Link zu diesem Kommentar
schaefersio 0 Geschrieben 23. August 2020 Autor Melden Teilen Geschrieben 23. August 2020 Danke für eure Hilfe! Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 23. August 2020 Melden Teilen Geschrieben 23. August 2020 Wenn du keine Hardware kaufen möchtest, dann kannst du auch einen alten PC nutzen und ihn z.B mit einem Linux und WireGuard bespielen. Da kannst du dir auch Lizenzkosten sparen. Bei Problemen bei der Umsetzung können wir dich gerne weitergehend unterstützen. Wir helfen gerne, wenn die Lösung dann Hand und Fuß hat. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 23. August 2020 Melden Teilen Geschrieben 23. August 2020 Ich hätte ja die Hoffnung, dass hier bereits virtualisiert wird. Ansonsten verschenkt man ja quasi "eine Windows Installation". In dem Fall wäre VyOS sicherlich ein Blick wert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.