Server 2003 als Internet-Gateway

[Torstenb 10]

Also langsam bin ich am verzweifeln.

Ich habe einen Member-Server mit 3 Netzwerkkarten mit jeweils unterschiedlichen Adressbereichen.

Die erste hängt am internen LAN, die zweite geht zur Firewall, die dritte geht ebenfalls (wie gesagt anderer Adressbereich) zur Firewall.

Die zweite Karte ist für die DSL-Internetanbindung, die dritte Karte für die Internetanbindung über einen UMTS-Router (falls die DSL-Anbindung ausfällt).

Nun soll der Server für das LAN als Internet-Proxy dienen. Standardmäßig über DSL, bei Ausfall über UMTS. Die User sollen bei einem Ausfall nichts mitbekommen (naja, bis auf die Geschwindigkeit halt).

Er soll also einfach alle Anfragen ans Internet nur durchrouten an den Proxy (auf die jeweils entsprechende Netzwerkkarte der Firewall).

 

Habe schon alles mögliche mittes "Routing und RAS" usw. versucht. Er routet einfach nix weiter.

 

Wie richte ich den Server dafür ein?

 

Torsten

[IThome 10]

Proxy ? Ist da ein ISA-Server drauf ? Oder benutzt Du nur RRAS ? Failover mit RRAS ? Als NAT-Router kann man den ja recht einfach konfigurieren ...

Poste mal IPCONFIG /ALL des Servers ...

[Torstenb 10]

Hier die Konfiguration:

(LAN 2 und 3 haben hier nur verübergehend zu Testzwecken gleiche Adressbereiche; physisch gehen LAN 2 und 3 dann direkt über Crossover auf die Firewall).

 

Windows-IP-Konfiguration

 

 

 

Hostname . . . . . . . . . . . . : SERVER-5

 

Primäres DNS-Suffix . . . . . . . : Domaene.com

 

Knotentyp . . . . . . . . . . . . : Unbekannt

 

IP-Routing aktiviert . . . . . . : Ja

 

WINS-Proxy aktiviert . . . . . . : Ja

 

DNS-Suffixsuchliste . . . . . . . : Domaene.com

 

 

 

Ethernet-Adapter LAN 3 (zum UMTS-Router über Firewall):

 

 

 

Verbindungsspezifisches DNS-Suffix:

 

Beschreibung . . . . . . . . . . : 3Com 3C996B-Gigabitserver-NIC

 

Physikalische Adresse . . . . . . : 00-0A-5E-02-9A-E1

 

DHCP aktiviert . . . . . . . . . : Nein

 

IP-Adresse. . . . . . . . . . . . : 192.168.1.195

 

Subnetzmaske . . . . . . . . . . : 255.255.255.0

 

Standardgateway . . . . . . . . . :

 

DNS-Server . . . . . . . . . . . : 192.168.0.1

 

 

 

Ethernet-Adapter LAN 2 (zum DSL-Router über Firewall):

 

 

 

Verbindungsspezifisches DNS-Suffix:

 

Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT-Serveradapter mit zwei Anschlüssen

 

Physikalische Adresse . . . . . . : 00-E0-81-27-B9-C9

 

DHCP aktiviert . . . . . . . . . : Nein

 

IP-Adresse. . . . . . . . . . . . : 99.99.99.195

 

Subnetzmaske . . . . . . . . . . : 255.255.255.0

 

Standardgateway . . . . . . . . . :

 

DNS-Server . . . . . . . . . . . : 99.99.99.200

 

 

 

Ethernet-Adapter LAN 1 (internes Netzwerk):

 

 

 

Verbindungsspezifisches DNS-Suffix:

 

Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT-Serveradapter mit zwei Anschlüssen #2

 

Physikalische Adresse . . . . . . : 00-E0-81-27-B9-C8

 

DHCP aktiviert . . . . . . . . . : Nein

 

IP-Adresse. . . . . . . . . . . . : 99.99.99.95

 

Subnetzmaske . . . . . . . . . . : 255.255.255.0

 

Standardgateway . . . . . . . . . :

 

DNS-Server . . . . . . . . . . . : 99.99.99.96

 

99.99.99.98

 

Primärer WINS-Server . . . . . . : 99.99.99.96

 

Sekundärer WINS-Server . . . . . : 99.99.99.98

 

 

ISA vewende ich nicht.

 

Torsten

[IThome 10]

Wenigstens sinngemäss hättest Du die Adressierung ändern können ... oder ist sie tatsächlich so ?

[Torstenb 10]

Doch, momentan sind die IP-Adressen tatsächlich so. Diesen dummen internen Adressbereich hatte mein Vorgänger in dieser Firma angelegt. Weiss auch nicht, wie auf den dummen Class A - Bereich kam. Da`s aber eh intern ist ist`s ja im Endeffekt egal.

 

Der DNS 192.168.0.1 ist übrigens der DNS-Router für`s UMTS. Als DNS für`s DSL dient die Firewall selbst.

 

Torsten

[IThome 10]

Das musst Du ändern, mit dieser Konfiguration kriegst Du gar nix zum Routen. Du arbeitest mit offiziellen Adressen auf der externen Seite und dann haben beide Karten den gleichen Bereich. Auf was für eine Firewall gehen die denn ?

[Torstenb 10]

Wie gesagt, standardmäßig haben die 2 externen Karten andere IP-Bereiche.

192.168.0.195 und 192.168.1.195 .

 

Den internen Bereich (99.99.99.x) kann ich nicht so einfach ändern. Der Aufwand wäre viel zu groß. Bisher gehen die Clients aus dem LAN direkt über die Firewall ins Internet. Nun soll "nur" der Server dazwischengeschaltet werden und die Ausweichmöglichkeit über die UMTS-Geschichte dazukommen.

 

Die Firewall ist keine Windows-Kiste. Ist `ne Linuxbasierte Variante.

 

Torsten

[IThome 10]

Ich denke nicht, dass Du einen automatischen Failover zu Deinem UMTS-Router mit RRAS machen kannst, dafür gibt es Appliances, die sowas können. Welchen Adressbereich hat denn der Linuxfirewall ?

[Torstenb 10]

Die 2 internen NW-Karten der Firewall sind in diesen beiden Bereichen (192.168.0.x und 192.168.1.x). Zum DSL-Router, der vor unserem Netzwerk sitzt, geht die Firewall auch in einem privatenn Class C - Bereich (192.168.205.x). Zum UMTS-Router auch.

 

Aber lassen wir mal die Umschaltung auf UMTS beiseite und gehen nur von der DSL-Strecke aus. Tuen wir so als hätte der Server nur 2 Netzwerkkarten.

 

Da sieht`s also so in der Reihenfolge aus:

 

LAN (Server-1 99.99.99.95) ->Richtung Firewall (Server-1 192.168.0.195, Firewall 192.168.1.200) -> Richtung DSL-Router (Firewall 192.168.205.30)

 

Wie muss ich den Server-1 nun genau einrichten, dass er als Gateway zu Internet geht?

 

Torsten

[IThome 10]

Ist das ein Vertipper ? Intern 99.x.x.x , Extern 192.168.0.195 und die Firewall hat 192.168.1.200 ? Welche Maske wird auf der Firewallseite benutzt ?

[Torstenb 10]

Oh ja, da ist mir statt der 0 eine 1 reigerutscht - sorry. Die Firewall hatt in Richtung des Servers natürlich die 192.168.0.200. Sonst gehts ja schon gar nicht.

Als Maske wird die standardmäßige Class C-Maske 255.255.255.0 benutzt. Brauch hier ja kein Subnetting.

Intern die zu den 99.99.99.x -ern zugehörige normale Class A 255.0.0.0.

Die Firewall hat wie gesagt keinen physischen Kontakt zum internen Netz. Sämtliche Verbindungen in das interne Netz laufen nur über den Server-1.

 

Die Clients müssen also zwangsläufig den Server-1 als Gateway zum Internet benutzen.

 

Torsten

[IThome 10]

Du konfigurierst NUR auf der externen Karte das Gateway zum Firewall und auf beiden Karten den internen Active Directory DNS-Server. Dann deaktivierst Du RRAS und startest erneut den RRAS-Assistenten und wählst NAT/Basisfirewall aus. Du wählst als private Schnittstelle die 99er aus und als öffentliche Schnittstelle die 192er. Das war´s auch schon. Man kann das auch ohne NAT machen, dann wird aber noch eine statische Route auf dem Firewall benötigt.

Deaktiviere die dritte Karte vorher ...

[Torstenb 10]

Ok, vielen Dank! Ich werd`s gleich morgen früh probieren und deb dann Bescheid wenn`s funzt.

 

Torsten

[IThome 10]

Wenn es erstmal grundsätzlich funktioniert, kann man über die Feinkonfiguration reden ... :)

[Torstenb 10]

Alles klar! Danke! :)

 

Torsten