rai29 10 Geschrieben 4. September 2005 Melden Teilen Geschrieben 4. September 2005 Hallo ich habe ein meiner Meinung nach kniffliges Problem mit meinem PC im Büro. Dieser ist an zwei Netzwerke (zwei Netzwerkkarten) angeschlossen. Die erste Karte ist mit einem WLAN-Router verbunden, der via DSL die Verbindung ins Internet herstellt, also als Gateway fungiert. Die zweite Kerte ist mit dem Firmen-Netzwerk verbunden (andere Büro-PCs, Netzwerkdrucker usw. ). Dieses Netzwerk ist über eine VPN-Firewall (Cisco Pix) über eine zweite DSL-Leitung mit dem Firmen-Intranet (dort sin z.B. auch die Email-Server) verbunden. Der Pix fungiert also für dieses Netz auch als Gateway. Da mein PC mit beiden dieser Netzwerke verbunden ist, hat er jetzt zwei Gateways. Ich bekomme es aber nicht hin, dass beide angeschlossenen Netzwerke (Internet und Intranet) gleichzeitig funktionieren. Offensichtlich scheint mein WinXP(Pro SP2)-Rechner immer nur einen der Gateways zu benutzen, da immer nur etweder das Intranet oder das Internet funktionieren. Der Rechner sollte aber entscheiden, ob der Zugriff ins Internet oder Intranet geht und ihn an das entsprechende Netz weiterleiten. Hier noch ein paar einstellungen: LAN 1: IP 10.0.0.40 Subnet 255.255.255.0 Gateway/DNS 10.0.0.1 (WLAN-Router) zum Internet Hier kann ich die IP-Adressen usw. selbst konfigurieren LAN 2: IP 10.40.0.40 Subnet 255.255.255.240 Gateway 10.40.0.1 DNS 10.0.30.1 (im Intranet) Hier sind die IP-Adressen usw vorgegeben Ich glaube ich müsste die Routingtabellen verändern - weiss aber nicht wie Bitte helft mir! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. September 2005 Melden Teilen Geschrieben 4. September 2005 Wenn ich es jetzt richtig verstanden habe, wird die PIX benutzt, um einen VPN-Tunnel durchs Internet zum Firmen-Intranet aufzubauen, Du möchtest aber die andere DSL-Leitung zum Surfen benutzen. Wenn dem so ist, kannst Du das Default Gateway der Karte im PIX-Netzwerk entfernen und eine Netz-Route zum Intranet eintragen ... z.B. route add -p 10.0.30.0 mask 255.255.255.0 10.40.0.1(die interne IP der PIX) edit: sorry, das add vergessen Zitieren Link zu diesem Kommentar
rai29 10 Geschrieben 5. September 2005 Autor Melden Teilen Geschrieben 5. September 2005 Hallo Ich hatte zwar noch keine möglichkeit zum ausprobieren, aber ich glaube das ist nicht ganz das was ich meinte. Die Rechner im Firmennetz (hinter dem VPN) haben auch alle 10.x.x.x-Adressen (10.0.0.x ist aber nicht dabei), deren Namen können aber nur über den DNS2 mit IP 10.0.30.0 aufgelöst werden. Ich stelle mir den Idealfall wie folgt vor: Bei jeder Anfrage wird zuerst der DNS1 in Netz1 (IP 10.0.0.1) gefragt. Bei Erfolg wird auch dieser Gateway1 benutzt. Bei erfolglosen Anfragen (oder Anfragen mit der DNS-Suffix von Netz2) wird der DNS2 von Netz2 gefragt und dann im Erfolgsfall auch diese Verbindung über Gateway2 verwendet. Problematisch ist evtl, dass auch der DNS2 sich bereits hinter der VPN befindet und eigentlich nur über das Gateway2 angesprochen werden kann. Ich hoffe ich habe mich nun klarer ausgedrückt und werde den Vorschlag sobald möglich auch mal ausprobieren.. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. September 2005 Melden Teilen Geschrieben 5. September 2005 Wenn ein DNS-Server eine Anfrage nicht selbst beantworten kann, sein Forwarder auch nicht, *abgekürzt* also sämtliche Namensauflösungsversuche scheitern, gibt er das an den Client weiter. Der Client fragt dann nicht den 2. DNS-Server, ob der es vielleicht weiss. Der 2. wird gefragt, wenn der Erste nicht erreichbar ist ... Du kannst natürlich den 10.30.0.1 für sämtliche Namensauflösungen benutzen. Der eigentliche Verkehr geht dann über den Router, der die Verbindung zu den gewünschten Zielen hat (der Router bei Dir ins Internet über die Defaultroute, die PIX über die Netzroute ins Intranet), nachdem der Name aufgelöst wurde. Die Frage ist ja, wieviele Rechner im Intranet erreichbar sein müssen und von wievielen, manchmal kann man tatsächlich noch hosts-Dateien einsetzen ... ;) Dein Vorhaben, anhand des Suffixes zu einem bestimmten DNS-Server zu gehen, könntest Du mit einem Windows 2003 Server realisieren, indem Du Conditional Forwarding aktivierst. Ach ja, noch was,wie ist denn eigentlich die Netz-ID des Intranets, wenn sie nicht 10.30.0.0/<Maske weiss ich nicht>ist ? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. September 2005 Melden Teilen Geschrieben 5. September 2005 sorry: ist mir irgendwie 2 * reingerutscht ... Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 5. September 2005 Melden Teilen Geschrieben 5. September 2005 Hi ! Soweit mir bekannt ist, unterbindet der Cisco-VPN-Client (bzw. die Firewall) jeden Netzwerk-Traffic außerhalb des VPN- Tunnels, solang der Tunnel aufgebaut ist. Ausnahmen kann der Admin der Pix einstellen, aber dort immer nur bestimmte IP-Bereiche. Ich vermute daher ganz stark, dass Du Dein Ziel, beide Netwerke gleichzeitig zu nutzen, so nicht hinbekommen wirst. Zitieren Link zu diesem Kommentar
rai29 10 Geschrieben 6. September 2005 Autor Melden Teilen Geschrieben 6. September 2005 Hallo ich habe dank der Tipps einen Lösungsansatz gefunden: Das Netz1 wurde auf 192.168.x.x-Adressen umgestellt und verwendet den DNS2 von Netz2 (funktioniert auch für's Internet). In die Routing Tabelle habe ich einen Eintrag für Netz2 gemacht, der den gesamten 10.x.x.x-Verkehr über den Gateway2 schickt. Der Rest geht ins Netz1 und über Gateway1. Ich würde nun gerne auch die DNS-Anfragen trennen, dass nicht jede Internet-Anfrage an den Firmen-DNS2 geht - aber wie? Danke erstmal an alle, die bisher geholfen haben Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. September 2005 Melden Teilen Geschrieben 6. September 2005 Entweder mit einem 2003 Server und Conditional Forwarding oder mit statischer Namensauflösung via Hosts-Dateien ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.