[Freedom]

Ich habe ein Windows Server 2003 mit SP1 am laufen.
Als Router eingerichtet wegen Subnetting. (Routing Table funktioniert soweit).
Man kann von außen ins Subnet pingen.

Nun wollte ich NAT aktivieren, also Routingprotokoll hinzugefügt. Die Clients können auch wunderbar ins Netz gehen! Nur Ping von außen geht nicht mehr. Sobald ich aber NAT wieder ausschalte gehts wieder.
Ich habe dann was gelesen mit Basisfirewall (dort habe ich auch ICMP alles erlaubt).
Kann man diese deaktivieren (es ist nicht die Windowsfirewall, falls das einer behauptet (der dienst ist sowieso deaktiviert)).

[Rika]

NAT ist eine Form von IP-Masquerading, natürlich wirst du von der nichtmaskierten Seite aus nicht direkt irgendeinen der maskierter Clients anpingen können.

[Freedom]

komisch unter Windows Server 2000 ging es aber.
Problem an der ganzen Sache ist. In meinen Subnet läuft auf einen anderen Rechner nen DNS (für 192.168.3.x Subnet 255.255.255.248 Mask). Mein Router läuft halt unter Windows Server 2003 SP1.
Der DNS kann auch wunderbar zum DNS im 192.168.0.x 255.255.255.0 Mask connecten. Nun wollte ich meinen clienten/workstations den Internetzugang gewähren.
Also habe ich halt NAT eingerichtet. Bei 2003 steht da hinter auch "Basisfirewall". Sobald ich das also hinzufüge kann der DNS nicht mehr zum anderen DNS die Namen auflösen geschweige denn ins andere Subnet!

Die Clients können zwar rauspingen, aber von außen kann keiner ins Netz reinpingen, was vorher aber lief. Was auch bei 2000 Server läuft.
Also schlussfolge ich das es an dieser "Basisfirewall" liegt. Die kann man ja Optional deaktivieren (auf der schnittstelle die Internetverbindung hat). Bringt trotzdem nichts, kein Ping kommt durch, keine Namensauflösung.

Wer kann helfen, brauch einer noch mehr Angaben?

Dieser Beitrag wurde von Freedom bearbeitet: 28. April 2005 - 08:32

[Rika]

Zitat

Nun wollte ich meinen clienten/workstations den Internetzugang gewähren.
Also habe ich halt NAT eingerichtet.
[...]
Wer kann helfen, brauch einer noch mehr Angaben?

Offensichtlicherweise. Ist der Router zugleich das Internetgateway oder was? Wenn nein, dann brauchst du dort kein NAT. Wenn ja, dann solltest du nicht zwischen den Subnetzen NATen, sondern zu der Internetverbindung.

[Freedom]

Okay ich fang mal an zuerklären.

wir haben ein großes Netz mit folgenden Daten:

IP: 192.168.0.x
Mask: 255.255.255.0

Dort läuft ein LinuxRouter mit FW der DirekteVerbindung zum Netz hat (Telekomm Standleitung 10mbit)
Dessen IP ist ins interne Netz:
192.168.0.62
255.255.255.0

Es läuft auch noch ein dicker Rechner mit DNS (Server 2003 EE)
192.168.0.33
255.255.255.0

Es laufen noch jede Menge andere Rechner im Netz, was aber nicht weiter zur Sache tut. Das die den Gateway, die IP vom LinuxRouter haben ist vollkommen klar.

Nun musste folgendes Realisiert werden. 8 subnetze getrennt vom großen Netz.
192.168.1.x
192.168.2.x
...
192.168.8.x
255.255.255.248

In jedem Subnetz ist selber ein Router (den ich noch Verwalten soll).
Als Software habe ich Server 2003 bekommen. Soweit war ja auch alles gut. Der Rechner hat 2 Netzwerkarten.

LAN1 (zum großen Netz)
IP: 192.168.0.46
Mask: 255.255.255.0
GW: 192.168.0.62
DNS: 192.168.0.33
DNS2: Telekom DNS

LAN2 (zum Subnet)
IP: 192.168.3.30
Mask: 255.255.255.248
GW: keinen
DNS: 192.168.3.28 (DNS im Subnet)


Also ich habe alles also per Hand in die Console eingetragen (die Routen). Alles hat soweit funktioniert. Man kann von außen ins Subnetz pingen und auch raus. Nun wollte ich also mein Clients Internet gewähren. Also Routing & RAS Verwaltung. NAT ausgewählt. Netzwerkarte die zum Subnetz und die zum Internet geht ausgewählt. alles wunderbar.
Meine Clients müssen mich als Gateway eintragen vollkommen klar.
Sie haben auch internet.
Nur ist das Problem man kann sie von außen nicht mehr anpingen. ICMP hab ich alles zugelassen. keine ports sind gesperrt.

Testweise haben wir mal die alte software windows server 2000 rausgekramt und überstunden gemacht. Da gehts also Routing und NAT!

Wieso also gehts bei windows server 2003 nicht?

[eXochron]

weißt du überhaupt was NAT macht?
NAT ist gerade dazu da das du von einem externen Netz nicht an die internen Rechner rankommst. Diese Technik steckt in jeden kleinen Internetrouter drinn.

Warum es bei deinen 2000Server trotzdem klappt weiß ich net. Solltest dir den vieleicht nochmal genauer anschaun.

Außerdem kannste dir ja mal deine Windowsfirewall von 2003 anguggn.

Am besten Postest mal deine ganzen Routingtabellen (route -print)

[Graumagier]

Zitat

NAT ist gerade dazu da das du von einem externen Netz nicht an die internen Rechner rankommst.

Nein. NAT ist gerade dazu da, dass man von außen an die PCs im internen Netz kommt.

[Freedom]

Zitat (eXochron: 29.04.2005, 08:11)

weißt du überhaupt was NAT macht?
NAT ist gerade dazu da das du von einem externen Netz nicht an die internen Rechner rankommst. Diese Technik steckt in jeden kleinen Internetrouter drinn.

Warum es bei deinen 2000Server trotzdem klappt weiß ich net. Solltest dir den vieleicht nochmal genauer anschaun.

Außerdem kannste dir ja mal deine Windowsfirewall von 2003 anguggn.

Am besten Postest mal deine ganzen Routingtabellen    (route -print)
<{POST_SNAPBACK}>

also was NAT ist weiß ich schon und genau deswegen brauche ich es ja.
hier sind mal die festen routen:

route -p add 0.0.0.0 MASK 0.0.0.0 192.168.0.62 IF 0x1000004
route -p add 192.168.1.8 MASK 255.255.255.248 192.168.0.34 IF 0x1000004
route -p add 192.168.2.16 MASK 255.255.255.248 192.168.0.61 IF 0x1000004
route -p add 192.168.4.32 MASK 255.255.255.248 192.168.0.48 IF 0x1000004
route -p add 192.168.5.40 MASK 255.255.255.248 192.168.0.51 IF 0x1000004
route -p add 192.168.6.48 MASK 255.255.255.248 192.168.0.54 IF 0x1000004
route -p add 192.168.7.56 MASK 255.255.255.248 192.168.0.57 IF 0x1000004
route -p add 192.168.8.64 MASK 255.255.255.248 192.168.0.49 IF 0x1000004
route -p add 192.168.0.0 MASK 255.255.255.0 192.168.3.30
route -p add 192.168.3.24 MASK 255.255.255.248 192.168.0.46

ich denke mal die anderen routen sollten nicht weiter interessieren
wie schon gesagt man kann von innen nach außen pingen also klappt das routing. und von außen nach innen auch. dns klappt auch. Nur halt wenn NAT an ist nicht mehr. NUR BEI 2003 bei 2000 nicht.
die routings haben sich auch nicht geändert! Dienste sind auch so wie sie vorher waren. reboot brachte auch kein erfolg.
Ich bin auch kein ausgebildeter Administrator aber von Netzwerken habe ich schon a bissle ahnung. darum kann ich es mir nicht erklären, weil es ja eben bei 2000 funzt


// Edit

Firewall ist aus. hab ja gesagt alle ports offen auch ICMP also müsste ja eigentlich ping gehen.

Dieser Beitrag wurde von Freedom bearbeitet: 29. April 2005 - 07:24

[eXochron]

@graumagier
? ui.
ich glaub hier ist erstmal aufklärungsarbeit nötig (vielleicht auch für mich)

Meines Wissens funktioniert NAT so:
- ein interner Client schickt was über den NAT-router an den externen Server.
- router tauscht die Quell-IP aus , setzt seine rein und merkt sich die andere.
Edit: - Der Server sieht nur die IP vom NAT-router und schickt auch an diese IP seine Antwort.
- Antwort kommt zurück router tauscht IP's wieder aus.
- alle eigenen Anfragen von externen Servern werden vom router geblockt.
-> Deswegen wird NAT auch hauptsächlich bei internet-routern eingesetzt damit niemand direkt in das interne Netz durchkommt

ganz ausführlich auch hier.

@Freedom
warum aktivierst du NAT überhaupt lass es doch aus, wenn du es nicht brauchst .

Dieser Beitrag wurde von eXochron bearbeitet: 29. April 2005 - 07:56

[Freedom]

naklar brauch ich das. meine clients brauchen internet!
oder sag mir eine andere lösung

wie schon gesagt und 2000 geht ja alles. nur 2000 solln wa net nehmen

[eXochron]

warum?
du aktivierst NAT auf deinem Internet-Router (sollte sowieso schon so sein). auf deinem Koppelrouter lässt du NAT aus damit du von deinem Hauptnetz in die Subnetze kommst. zweitens trägst du beim koppelrouter deinen internetrouter als default-gateway ein. (standard-adresse and den jede andere anfrage gesendet wird).
(Ist doch ganz einfach )

Dieser Beitrag wurde von eXochron bearbeitet: 29. April 2005 - 07:43

[Freedom]

ja hab ich doch, aber funzt. sonst würde ich ja nicht fragen.
Hab doch oben meine einstellungen geschrieben
Wie gesagt NAT erfüllt ja seine aufgabe. problem ist nur das der dns von außen nicht mehr in den dns in meinen subnetz connecten kann. geschweige denn irgendeiner pingen kann. raus ja. rein nein.
2000ja 2003nein

[eXochron]

Zitat

Wie gesagt NAT erfüllt ja seine aufgabe.

Ja eben NAT macht seine Aufgabe.

Passauf ich erklärs nochmal:

Angenommen Peter hatt einen Internetanschluss. An diesem hängt ein Modem mit integriertem Router. An dem Perter's Rechner über LAN angeschlossen ist.
Peter will jetzt von seinem Rechner auf eine Webseite im Internet surfen.
So was Peter nicht weiß. was seine Computer da macht. Der sendet nämlich seine Anfrage an den Standardgateway seiner IP-Konfiguration (das ist der Router).
Der Router auf den NAT (wie bei allen anderen Internet-Routern auch) läuft, bekommt jetzt das Paket von Peter's PC mit dem Ziel-Server und Ziel-Port.
Dieser merkt sich jetzt die Absender-IP und den Absender-Port und setzt dafür seinen eigene IP/Port ein. Somit schickt der Router das Paket mit seinen Absender an der Webserver weiter. Dieser Bearbeitet die Anfrage und sendet die Antwort an den Router zurück. Dort angekommen schaut der Router in seinen Cache fischt dort die orginale Absender-IP raus und tut diese wieder einsetzen und an Peter's PC weiterleiten. Das geschieht noch ein paar mal bis Peter seine Homepage sieht.

Was haben wir daraus gelernt: Der gesamte Internetverkehr erfolgt nur mit der Absender IP vom Router.

So weiter angenommen ein Hacker hatt den Verkehr von Peter beobachtet und will seinen Rechner angreifen. Er schickt also seine Angriffspakete an seine Ziel-IP. Nur hatt unser Hacker die ganze Zeit die IP vom Router mif gesnifft. So das der Angriff am Router wirkungslos bleibt.

Moral von der Geschicht: Hinter NAT bleibst du vor "Außen" geschützt.

Genau so funktioniert NAT:
Alle internen Anfragen werden hinausgeleitet und die Antworten an den jew. Client zurückgeschickt.
Alle Anfragen von Extern werden abgeblockt.
Darum kommt kein Rechner auch nicht ins Subnetz.

Lösung:
Entweder du trägst auch noch deine Server bei deinen Subnetz-Router direkt ein.
Oder du schaltest NAT aus, damit ist der Verkehr dann auf dein Nachbarnetz frei.

[Rika]

Dito. Ich verstehe nicht, warum du unbedingt NATen willst - mit ganz normalem Routing sollte das doch genauso hinkommen.

[eXochron]

Zitat (Rika: 29.04.2005, 09:52)

Dito. Ich verstehe nicht, warum du unbedingt NATen willst - mit ganz normalem Routing sollte das doch genauso hinkommen.
<{POST_SNAPBACK}>

Meine Rede....