Windows 2003 SBS mit 2 NIC's hinter VigorPro 5500 und AVM

NAT, Open Ports, Port Redirect, Address Mapping, Port Trigger, Instant Messenger, Netmeeting, Serveranwendungen wie FTP und Gameserver, Peer2Peer, eDonkey, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Windows 2003 SBS mit 2 NIC's hinter VigorPro 5500 und AVM

Beitragvon dimugi » Fr 03.08.2007 - 18:56

Hallo allerseits!

Habe volgendes Szenario:

Internet -> AVM Fritz!Box 7170 (LAN-IP 192.168.5.x mit Einwahldaten) -> Draytek VigorPro 5500 (WAN 195.168.105.x von AVM zugeteilt, LAN 192.168.104.x fest) -> Windows 2003 SBS (NIC zum Draytek 192.168.104.x fest, NIC für internes LAN 192.168.101.x

Der W2K3 fungiert also vor das 101-Netz als Router und natet.

Ich möchte letztlich eine VPN-Verbindung aus dem Internet aufbauen.
Hängt ein PC im 104-Netz, also zwischen Draytek und W2K3 kann ich zum
W2K3 eine VPN aufbeuen in dem ich dessen IP in der VPN-Verbindung angebe.

Nun bewege ich mich ein Stück vor und hänge den selben PC zwischen AVM und Draytek ins 105-Netz. Es klapt gar nichts mehr.

Ich habe im Draytek den internen VPN-Server ausgeschaltet und es mit open-Ports, DMZ und Port-redirection schon versucht und es will nicht funzen.

Auch aus dem Internet durch die AVM geht nichts. In der AVM-Box habe ich aber ebenfalls die Ports geöffnet.

Aus dem Internet oder zwischen den beiden Geräten (AVM u. Draytek) klappt es allerdings wenn ich den im Draytek internen VPN-Server nutze.
Dann bin ich zwar im 104-Netz, jedoch muß ich mich dann noch in den Server hinein bringen. Da gab es mal einen Tipp über Adresspools im NAT des RAS und damit auch einzurichtenen Portreservierungen, nur hab ich das wahrscheinlich falsch umgesetzt oder nicht verstanden.

Scheinbar gibt der Draytek das VPN nicht richtig weiter. Was ist eigentlich mit dem GRE-Protokol? Das sollte bei deaktivierten internen VPN doch durchgereicht werden.

Weis jemand Rat?

Danke!

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)

Zum besseren Verständnis

Beitragvon dimugi » Fr 03.08.2007 - 21:50

Ich bin PC-Dienstleister und habe neben meinem Firmennetz noch ein privates Netz.

Im privaten Netz surft meine Frau und chattet. Das ist mir im Firmennetz zu unsicher.
Ich habe daher eigentlich zwei Router an der Fritzbox, den Draytek und einen Longshine.
Der Longshine hat ebenfalls Einwahldaten und geht via pppoe durch die Fritzbox.

Hinter dem W2K3 SBS befindet sich nein Firmennetz.

Die AVM Fritzbox 7170 verfügt über 4 LAN-Ports und WLAN, das nutze ich um Kundenrechner zu testen und ins Internet zu bringen ohne größere Gefahr für das Firmen und Heimnetz.
So muß ich nur sellten, wenn ein Kunde eine DSL-Karte nutzt, auch die Fritzbox abhängen um zu testen.

Die Fritzbox ist bei mir auch für die VOIP-Telefonie zuständig.

Wie gesagt hatte ich mit dem Internen VPN des Vigor bereits Erfolg ins 104-Netz zu kommen, aber bin letztlich am W2K3 gescheitert, da dieser ebenfalls als Router läuft und Anfragen von außen (140-Netz) nur bedingt durchreicht.

Wenn ich das mit den Adresspools und der Reservierung in der NAT des RAS besser verstehen würde wäre mein Problem sicherlich auch gelößt.

Wie ich auch beschrieben habe komme ich bei abgeschalteten VPN-Server im Vigor auch dann nicht mehr durch, wenn ich die AVM außer acht lasse, d.h. zwischen AVM und Vigor den PC einhänge.

Hat der Vigor eventuell mit GRE ein Problem?

Ich weiß mein Szenario ist etwas verückt, sobald ich eine andere einfachere Lösung habe werde ich auch diese probieren.

Der SBS ist für mich auch deshalb ein empfindiches Theme, da darauf mein Email-Server (Eschange) und meine Warenwirtschaft läuft.

Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)

Beitragvon nobody » Sa 04.08.2007 - 12:06

Ich würde das so machen:
1. Draytek als VPN server und Internet-Gateway verwenden, nicht die VPN funktionalität des Windows Servers verwenden.
2. Auf dem 5500 die port-separation einschalten:
Dann kannst du dort noch 4 oder oder mit switch noch N geräte anschliessen, die dann zwar internet-zugang haben aber mit dem Rest vom Netz nicht kommunizieren können (testpcs und Deine Frau )
Somit enfällt dann auch die notwendigkeit für den Longshine router.
3. Nun die Fritzbox wieder anschliessen, und zwar parallel zum 5500 über einen switch am Modem - so die Fritzbox in der Lage ist, das eigene modem nicht zu verwenden.
oder aber die Fritzbox als modem für den Draytek verwenden - das sollte eigentlich auch gehen.
nobody
Hardcore-Poster
 
Beiträge: 1332
Registriert: So 19.09.2004 - 16:45

Beitragvon dimugi » So 05.08.2007 - 02:31

Ich habe es mit einrichten von Adresspools und einer Reservierung im NAT des 2003 Servers geschaft.

Eigentlich habe ich nichts anderes eingestellt wie bei einigen ersten Versuchen, doch nun geht es shon mal.

Ich habe im Adresspool des NAT (RAS) eine weitere Adresse für die Webschnittstelle definiert und dann eine Resevierung für die LAN-Schnittstelle des SBS eingerichtet.

Im Draytek habe ich eine Port-Redirection auf Port 1723 (TCP) eingerichtet und zunächst erst einmal
die Firewall auf per default "pass" eingestellt. In der Fritz!Box leite ich die Ports 1723 (TCP) und 47 (GRE) an den Draytek. So geht es dann erst einmal.

Klar jetzt muß ich noch eine Firewallregel definieren, damit ich diese per default auf "block" lassen kann.

Später versuch ich mal den Server zu entlasten indem ich den Draytek internen VPN nutze.
Vielleicht klappt dann auch mit einer sicherreren Verbindung als pptp.

Die Fritz!Box hätte ich schon gerne vorne. Ersten wegen der Möglichkeit Kundenrechner noch vor dem Draytek zu Testen und zweitens wegen dem integrierten VOIP in der Box.


Gruß

Dimugi
dimugi
User
 
Beiträge: 11
Registriert: Fr 03.08.2007 - 17:46
Wohnort: Gießen (Hessen)


Zurück zu Anwendungen und Server

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron