VPN: Router + ein Win 2000 Adv. Srv. als RAS-Server?

[dsolianyi 10]

Hallo!

 

------------------------------------------------------------------------------------

Was ich bereits habe:

------------------------------------------------------------------------------------

 

Ein Testnetzwerk, bestehend aus 1xWin. 2000 Adv. Srv., 3xWin XP Prof. Ed., 1xWin. 95, 1xSwitch, 1xWireless Router, 1xGateway fuer DSL- und Kabelmodem.

 

------------------------------------------------------------------------------------

Wie es konfiguriert wurde:

------------------------------------------------------------------------------------

 

Der Internetanschluss erfolgt durch einen Kabelmodem, der an dem WAN-Anschluss des Gateways haengt. Der Gateway haengt wiederrum - mit Hilfe des LAN-Ansclusses - an dem 8-Port-Switch. An dem Switch haengen zwei PC's: 1xWin XP Prof. Ed. und der Win 2000 Adv. Srv. Alle PC's - ausgenommen einen XP PC als Workstation und den 2000 Advanced Server - beziehen die restlichen PC's von dem Gateway, da es DHCP-Funktion hat. Die IP-Adresse des Routers ist als eine Subdomain bei DynDNS registriert, um es leichter zu machen (dsolianyi-vpn.dyndns.org). Marke des Gateways ist CompuShack und des Routers Netgear MR314. Die Clients sind 2xDesktops und 1xNotebook, also Einzelplaetze. Den Internetzugang beziehen sie von Ihrem ISP. Es sind - meinen Wissens nach - keine zusaatzliche Router, Gateways, Switches u.s.w. notwendig.

 

------------------------------------------------------------------------------------

Was moechte ich erreichen:

------------------------------------------------------------------------------------

 

Ich habe noch 3 weitere Clients, die bereits einen Internetanschluss besitzen und auf die Dateien des Testnetzwerkes zugreifen moechten. Ich moechte das wenn sich diese Clients zu von mir connecten moechten, sollen ihnen die IP's von einen DHCP-Server zugeteilen bekommen. Die Benutzername und den Kennwort ueberprueft der RAS-Server. Erst wenn alles stimmt werden die Clients "reingelassen", sonst fliegen sie raus ;). Danach sollten sich alle 8 PC's - egal an welcher Ort und Stelle Sie sich befinden - einander kennen bzw. anpingen koennen.

 

------------------------------------------------------------------------------------

Bei mir auftrettende Probleme:

------------------------------------------------------------------------------------

 

- Die IP-Addresse des Routers (80.110.4.144) kann man weder von LAN noch von Internet her anpingen, warum?

 

- Der Router (dsolianyi-vpn.dyndns.org oder oben genannte IP) laesst sich mittels der tracert-Befehl nicht verfolgen, warum?

 

------------------------------------------------------------------------------------

Meine Frage(n) an Euch:

------------------------------------------------------------------------------------

 

- Wie sind die oben genannte Probleme am besten zu beheben?

 

- Wie richte ich einen DNS-, DHCP- und einen RAS-Server auf W2k ein?

 

- Wie mache ich diese Server fuer den Internet sichtbar, sodass die Clients z.B. sich am RAS-Server anmelden koennten?

 

- Wie muessen Router und der Gateway konfiguriert werden?

 

Waere fuer eine detailierte Anweisung von Euch - oder zumindest einen Link zu einer aenlicher Workshop oder Tutorial - wirklich dankbar.

 

Mit freundlichen Gruessen

SOLIANYI Dmitri

[klausk 10]

Kannst du mal eine Zeichnung des Netzes posten? Ein Bild sagt mehr als 1000 Worte ;)

 

klaus

[real_tarantoga 11]

ping und tracert aus dem inet gehen:

[zuschauer 10]

Hi dsolianyi !

Wie schon r_t kann auch ich Deine DynDNS-Adresse pingen und der trace ist erfolgreich. D.h., DynDNS funktioniert also.

 

Wenn ich Deine Beschreibung richtig verstanden habe, kann jeder Client bzw. der Server für sich eine eigene Internetverbindung aufbauen, aber jeweils immer nur einer ?

 

Die "schnelle" Lösung wäre, Dein Server bekommt 2 Netzwerkkarten, eine für die WAN-Strecke und eine für die LAN-Strecke. Dein DSL-Modem wird direkt mit der WAN-Netzwerkkarte des Servers verbunden und RRAS und DHCP konfiguriert.

Damit wäre Dein Server aber direkt im Internet und dadurch direkt angreifbar - sollte man tunlichst vermeiden, zumal Du Deine IP quasi hier veröffentlich hast.

Es sollte also eine Firewall zwischen dem DSl-Modem und dem Server zwischengeschaltet werden, die auch noch von außen kommende VPN-Verbindungen an den Server weiterleiten kann.

 

Bei den VPN-Verbimdungen hab ich ein weiteres Problem. Soweit ich weiß, wird in Österreich die Internetverbindung über PPTP (also über eine VPN-Verbindung zum Provider) aufgebaut. Dies würde bedeuten, Du möchtest einen VPN-Tunnel im Tunnel zum ISP aufbauen. Ob das geht, weiß ich nicht und hoffe, daß ein Landsmann von Dir diese Frage erstmal klären kann.

[dsolianyi 10]

Hi!

 

Vorerstmal danke ich euch fuer diese Beitraege.

 

Kannst du mal eine Zeichnung des Netzes posten? Ein Bild sagt mehr als 1000 Worte

 

klaus

Bin ganz deiner Meinung. Hier sind nun 4 Bilder:

 

1. Das kommt bei mir raus, wenn ich innerhalb des LAN's versuche, meine oeffentliche IP anzupingen oder zu "verfolgen":

 

2. So sieht mein LAN aus:

 

3. So soll es ablaufen:

 

4. Das will ich erreichen:

 

Was haettet Ihr fuer Vorschlaege? Danke!

 

Mit freundlichen Gruessen

SOLIANYI Dmitri

[real_tarantoga 11]

:shock: zum glück sitz ich schon - wow! :shock:

wie ich sehe, bis du fit in visio :D

 

also, das muss ich mir jetzt mal offline betrachten ...

[zuschauer 10]

Original geschrieben von real_tarantoga

:shock: zum glück sitz ich schon - wow! :shock:

Na und ich erst !

Da muß ein Fehler im System sein, eigentlich sind nur 3 Bilder in 8 Stunden erlaubt.

 

Meine Frage mit dem Verbindungsaufbau hat sich somit erledigt.

 

Der prinzipielle Weg sollte sein:

 

auch DHCP vom Server:

 

Default gateway: IP des Kabelgateways

DNS-Server:nur die IP des Servers

 

Auf dem DNS-Server wird eine Weiterleitung zu den DNS-Server-IP Deines Providers eingetragen. Default Gateway des Servers wäre dann in deinem Bild das Kabelgateway.

 

Verstehe ich das richtig, Dein Kabelgateway hat eine intergrierte Firewall ?

Das könnte erklären, warum Ping und Tracert nicht funktionieren.

Funktioniert ein ping zu http://www.mcseboard.de ?

[boardadmin 0]

Bitte vermeidet Bilder zu posten.

Erstens ist es schlescht lesbar, wenn die Grafig nicht mehr auf einem Bidschirm mit einer Auflösung von 104x768 ohne Scrollen darstellbar ist und zweitens ehöt das unseren Traffic nur unnötig.

 

@dsolianyi:

die Grafik Nr.2 bitte entsprechend anpassen!

[dsolianyi 10]

Verstehe ich das richtig, Dein Kabelgateway hat eine intergrierte Firewall ? Das könnte erklären, warum Ping und Tracert nicht funktionieren.

 

Ja, sowohl Gateway als auch der Router haben den integrierten Firewall. Ich habe es bei den beiden abgeschaltet, aber es hat trotzdem nichts gebracht.

 

Funktioniert ein ping zu http://www.mcseboard.de ?

Ja. Sowohl vor als auch nachdem ich den Firewall abgedreht habe.

 

Hier ist der Link zu meiner Konfiguration des Gateways und des Routers

Haette noch jemand Vorschlaege, wie das zu bewerkstelligen ist?

 

@boardadmin

 

sorry, ich hab' das nicht gewusst.

Ich weiss leider nicht, wie ich diesen Grafik anpassen soll, aber das naechste mal mache ich es vorher, ok? Danke!

 

Mit freundlichen Gruessen

SOLIANYI Dmitri

[dsolianyi 10]

Hat denn niemenad einen Tip, Workshop, Link, Tutorial oder sonstiges fuer mich?

 

Mit freundlichen Gruessen

SOLIANYI Dmitri

[klausk 10]

Schau mal in die aktuelle c't(10/03), da wird das Thema VPN ausführlich behandelt. Vielleicht hilft's dir weiter.

[dsolianyi 10]

Hi!

 

Hab' mir gerade die Homepage von c't angesehen. Scheint ein guter Tip zu sein... Danke! Gibt's noch weitere deutschsprachige Internet-Journale, Zeitschriften, Internet-Magazine oder sonstiges, die diese Thema behandeln oder idealerweise sich nur mit diesem Thema auseinandersetzen? Danke voraus!

 

Mit freundlichen Gruessen

SOLIANYI Dmitri