ich habe mich euch angeschlossen, da ich ein akutes Konfigurations-Problem mit einem Lancom 1611+ (LCOS 8 + neues LANConfig) habe und hoffe ihr könnt mir weiterhelfen. Wäre echt toll, da ich das einfach nicht gebacken bekomme und nur über Routing-Grundkenntnisse verfüge. Somit mache ich wahrscheinlich irgendwo einfach einen Denkfehler…
Zuerst zur Umgebung: SBS 2003 mit 2 Netzwerkkarten (LAN-Verbindungen „intern“: 10.9.1.1 / 255.255.255.0, „extern“: 10.99.1.254 [Subnetz des Routers]). Lancom 1611+ hat die IP 10.99.1.1 / 255.255.255.0). Externe LAN-Verbindung verbindet das Interne SBS-Subnetz mit dem Router-Subnetz, dazwischen die Basisfirewall vom SBS. DHCP und DNS natürlich nur ans interne Netz gekoppelt. Der SBS kümmert sich um alle DNS-Anfragen und löst diese bei Bedarf über den Lancom-Router auf.
Das funktioniert natürlich so erst mal einwandfrei, aber jetzt kommt der Knackpunkt: Der Lancom 1611+ ist außerdem für die VPN-Verbindungen zuständig. Problem: Die VPN-Benutzer landen dann bei herkömmlicher Konfiguration im „externen“ Netz und können den Server nicht erreichen, da dieser auf der externen Schnittstelle nicht auf Anfragen reagiert (soll er ja auch nicht, ansonsten bräuchte man ja keine 2 getrennten Netzwerke). Der Lancom müsste also a) das zweite Netz kennen b) den VPN-Clients IP-Adressen aus dem internen Bereich zuweisen und c) deren Anfragen an das interne Netz weiterleiten, damit die VPN-Nutzer auf den Server zugreifen können. Außerdem soll sichergestellt bleiben, dass das interne Netz aus dem Router-Netz heraus nur von den VPN-Clients und sonst von keinem anderen Gerät erreichbar sein soll.
Um das Problem zu lösen habe ich folgende Konfigurationsschritte versucht, die jedoch nur teilweise funktioniert haben (siehe unten):
- 1. Um dem Router eine physische Verbindung ins interne Netz zu ermöglichen, habe ich ihn wie folgt verkabelt: Router-Port 1 -> externe Netzwerkkarte des Servers, Port2 -> Switch des internen Netzwerks
2. Unter „Schnittstellen“ habe ich folgende Einstellungen vorgenommen: Port 1: gebunden an Interface „LAN-1“, Port 2 gebunden an „LAN-2“
3. Da der 1611+ nur zwei Netze unterstützt und die DMZ nicht verwendet wird, habe ich unter TCP/IP das IP-Netz mit dem Namen DMZ gelöscht und ein neues namens „INTERN“ angelegt, IP 10.9.1.254, Subnetz 255.255.255.0, Typ Intranet, Schnittstellentag 1, gebunden an „LAN-2“. Somit müsste der Router doch wissen, dass er dieses Netz nur über Port 2 erreicht, oder?
4. Jetzt habe ich über den Assistenten eine VPN-Verbindung erstellt: IP 10.9.1.200, zugreifbarer Bereich 10.9.1.0 / 255.255.255.0, Authentifizierung über PSK. Hier kam nun eine Warnung, meine DMZ würde sich mit dem internen Netz überschneiden und ich wurde nach einem neuen Subnetz für die DMZ gefragt. Das hat mich etwas verwundert, weil ich das DMZ-Netz doch gerade erst gelöscht hatte ??? Habe den Benutzer trotzdem fertig angelegt und ihm unter „VPN“ – Gegenstellen den Routing-Tag 1 verpasst. Wenn ich das richtig verstanden habe müsste damit dann ja sichergestellt sein.
5. In der Routing-Tabelle habe ich der vom Assistenten eingerichteten Route zur neuen VPN-Gegenstelle ebenfalls den Routing-Tag 1 zugewiesen, damit diese nur von den VPN-Clients verwendet werden kann.
Nun habe ich das Ganze getestet:
Zuerst habe ich geprüft, ob man noch eine Internet-Verbindung bekommt, wenn man sich physisch im internen Netz befindet (am Switch angeschlossen) und sich manuell eine IP aus dem Router-Netz zuweist (Lancom als Gateway + DNS). Dies war nicht mehr möglich, womit die Abschirmung nach außen ja zu funktionieren scheint.
Dann habe ich von außen (über UMTS) eine VPN-Verbindung über den Lancom Advanced VPN-Client hergestellt (entsprechend konfiguriert für das interne Subnetz des Servers). Diese wurde auch korrekt aufgebaut, jedoch kann ich weder den Server noch irgendwelche anderen Geräte im internen Netz erreichen. Irgendwo schein also eine Route oder Ähnliches zu fehlen, tracert liefert keine einzige Station zurück, nur timeout… *heul*.
Wäre super, wenn ihr mir auf die Sprünge helfen könntet! Vielen Dank schonmal (und sorry für die lange Ausführung)!
Deine Idee mit dem "zusätzlichen" Subnetz für die VPN-Clients gefällt mir gut. Ich werde dann nächste Woche also folgendes versuchen: Netz "Intern" als 10.9.2.1 / 255.255.255.0 definieren, Route zum SBS über dessen IP anlegen (10.9.1.1), am SBS eine Route über die IP des Routers im neuen Netz (10.9.2.1) anlegen und den VPN-Clients IPs in diesem Subnetz zuweisen. Ich hoffe, ich habe das jetzt richtig erfasst?!?