Domänenzugriff via VPN

[AS1306]

Verständnisfrage - Ist es möglich bzw. wie ist es realisierbar einen Rechner via VPN auf das AD in einem entfernten Standort zugreifen zu lassen. Zur Erläuterung: Im Standort A befindet sich ein DC mit AD und diversen Freigaben. Nun möchte ich am Standort B einen Rechner stehen haben, der Mitglied der lokalen Domäne vom Standort A ist (und die User des AD´s zur Anmeldung genutzt werden können) aber auch auf Resourcen des Standortes B zugreifen kann bzw. hier lokal ansprechbar bleibt ... Standort A und B sind bereits via VPN miteinander verbunden! Mit einem Client kein Problem, da der sich ja dort im lokalen Netz "anmeldet" - nur wie bei einer VPN Verbindung? Lokal eine IP aus dem entfernten Netz vergeben? DNS-Einträge? ... Komme da irgendwie nicht weiter!

THX Andreas

[Christoph_vW]

Am einfachsten geht das mit einer Site-2-Site Kopplung zwischen 2 LANCOM VPN Routern.

Wenn die Verbindung steht, einfach auf dem entfernten LANCOM eine DHCP Weiterleitung auf den DHCP-Server der Domäne einrichten (Natürlich vorher auf dem AD-DHCP Server den passenden IP Bereich anlegen).


Bsp:

Zentrale:
LANCOM: 192.168.1.1
DC mit DHCP und DNS: 192.168.1.2
DHCP Bereiche: 192.168.1.X, 192.168.2.X

Für den DHCP Bereich (192.168.2.X) auf dem DC (192.168.1.2) dann folgende Optionen einstellen:
Router: 192.168.2.1
DNS-Server: 192.168.1.2


Remotestandort:
LANCOM: 192.168.2.1
DHCP Weiterleitung auf: 192.168.1.2

[iKarlito]

Hi,

wenn du zwischen Standort A und B bereits eine bestehende Main-Mode-Verbindung nutzt, kannst du keine Aggressive-Mode-Verbindung mit einem Client von Standort B nach Standort A aufbauen.

Sofern du am Standort B sonst keinen DNS- bzw. AD-Server stehen hast, kannst du z.B. eine DNS-Weiterleitung nutzen oder ein spezielles Netz aufziehen für bestimmte MAC-Adressen, wobei dann die von Christoph_vW genannte DHCP-Weiterleitung nutzen kannst.

[AS1306]

Vielen Dank für das Feedback! Ich habe nun erst einmal den DHCP-Bereich im Server (Zentrale) mit den entsprechenden Optionen eingetragen, sowie den entfernten LANCOM auf - "DHCP-Server aktiviert" - "Anfragen weiterleiten" - "1. Server = IP des DHCP-Servers der Zentrale" - eingerichtet. Die entsprechenden Auswahlfelder bleiben dann leer? (siehe Bildanhang) DNS ist dann nicht weiter zu berücksichtigen? Zone? DNS-Weiterleitung im LANCOM? Der lokale DNS-Server auf der Remoteseite bleibt aktiv? Sorry, wenn ich noch einmal nachhake, kann das momentan leider nicht testen, da alle Rechner im Remotenetz im produktiven Einsatz sind und ich mir nicht aus der Ferne jetzt ein Ei ins Nest legen möchte. So richtig kann ich das erst am Freitag/Samstag testen. Prinzipiell möchte ich es ja auch erst einmal nur richtig nachvollziehen können.

Wenn ich das richtig verstehe, dann erfolgt die DHCP-Anfrage jetzt am DC und der Rechner bekommt eine IP aus der Range des dort hinterlegten 2. Bereiches und weiß durch die gleichzeitige Zuweisung des DNS-Servers auf dem DC somit, dass dieser Rechner auch zur lokalen Domäne gehört? Ein DNS Reverse nslookup (siehe oben: Zone) ist nicht erforderlich? Der LANCOM fungiert nun als DHCP-Relay-Agent?

THX Andreas

[iKarlito]

Die DNS-Einstellungen sind zu vernachlässigen, wenn der eingetragene DHCP-Server den korrekten DNS-Server mitgibt. Bleibt der lokale LANCOM das Gateway ohne den DNS-Server auf den in der entfernten Domain einzutragen, so sollte die Weiterleitung eingetragen werden.

[AS1306]

Kurzes Feedback - super, mit diesen Angaben funktioniert es prächtig. Der lokale Lancom bleibt Gateway und gibt den DNS-Server korrekt weiter. Der lokale Rechner erhält eine IP aus der Range des entfernten DHCP-Server's, was man auch sehr gut in den angegebenen/hinterlegten Adressleases nachvollziehen kann. Funktioniert jetzt übrigens auch mit statischen IP's (aus dem DHCP-Ausnahmebereich unter Eintragung und Mitgabe eines DNS Suffixes). Die Zertifikate greifen wieder ...

Problem solved.

THX Andreas

[pcg0506]

Hallo,

der Beitrag ist schon ziemlich alt, ich hoffe trotzdem, dass ich noch eine Antwort erhalte. Ich bin nicht besonders fit in der Netzwerk Thematik und habe deshalb Problem mit der Transferleistung der oben beschriebenen Lösung.

Bei mir passt alles haargenau, wie beschrieben, nur das der DC Server nicht immer an ist und deshalb der Lancom Router in dere Zentrale der DHCP ist. Wie kriege ich praktisch diese Domänenanmeldung hin, über den Lancom als DHCP, geht das auch ?

Und ja ich weiß dass die Domänen Anmeldung nur geht wenn der DC auch online ist, aber wenn sich jemand in Standort B anmelden will ist der DC natürlich oben.. es kommt halt leider nicht sooft vor….


Deshalb wäre die Königslösung, wenn der Lancom in der Zentrale der DHCP bleiben könnte.
Danke für die Hilfe.

Die beiden Lancoms sind übrigens 1781AWs und haben LCOS 8.82 drauf. VPN Verbindung klappt alles., pingen ist auch gut. Ich muss halt von Standort B auf die Ressourcen von der Zentrale zugreifen können, wenn der DC oben ist. Der DC soll aber kein DHCP sein….

Danke du Gruß
Peter

[Bernie137]

Hallo Peter,

Bei mir passt alles haargenau, wie beschrieben, nur das der DC Server nicht immer an ist und deshalb der Lancom Router in dere Zentrale der DHCP ist. Wie kriege ich praktisch diese Domänenanmeldung hin, über den Lancom als DHCP, geht das auch ?

Sicherlich bekommt man eine Domain Anmeldung hin, auch wenn ein Lancom Router der DHCP in der zentrale ist. Die oben beschrieben Lösung ist nicht gerade der Königsweg, aber gut. DHCP und DNS vom anderen Standort machen zu lassen ist Mist, weil so eine Leitung auch mal ausfallen kann. Aber viele Wege führen nach Rom...

Wenn der Lancom in der Zentrale der Router ist, dann müssten sich dort die Clients bei Euch schon jetzt in der Domain anmelden können? Und das hat erst mal nix mit dem Anmelden über VPN zu tun, sondern ist eine Grundvorraussetzung, ist die erfüllt? Dann sind nur Einstellungen in der Filiale zu tätigen. Also was genau geht bei Euch nicht? Und mal ein paar IP Zahlen wären hilfreich, um es Dir zu erklären. (Private IPs kannst Du hier ohne Probleme posten, denn diese IP Adressen gibt es im Internet nicht und kann auch keiner hacken).

Viele Grüße
Heiko

[pcg0506]

Servus Heiko,

danke für Deine schnelle Antwort.

Die Zentrale hat das Netz 192.168.71.0. Der Standort B hat 192.168.72.0. Ich kann von B aus alle Clients , Netzwerkdrucker und den DC über 192.168.71.x anpingen. Auch das Login an der Domäne klappt, wobei ich nicht sagen/erkennen kann ob nicht doch nur das lokale Profil gezogen wird. Der Client läuft unter Windows 7 Pro.
Wenn ich aber jetzt auf die Ressourcen in der Zentrale zugreifen will (Freigabe, Netzwerkdrucker) bekomme ich nur die Fehlermeldung „Fehler unbekannt“. Und bei den Freigaben ist es z.B. egal ob ich die IP oder den Name für die Verbindung eingeben. Er „frisst“ beides nicht….

Danke für Deine (Eure) Hilfe.

Gruß
Peter

[Bernie137]

Hallo Peter,

Auch das Login an der Domäne klappt, wobei ich nicht sagen/erkennen kann ob nicht doch nur das lokale Profil gezogen wird.

Wie ist es Domain-technisch auf die beiden Standorten aufgeteilt? Wo stehen überall DCs welcher Domain? Und mal eine Client Anzahl und auch die Geschwindigkeit des VPN-Tunnels könnte interessant sein zu wissen.

Wenn ich aber jetzt auf die Ressourcen in der Zentrale zugreifen will (Freigabe, Netzwerkdrucker) bekomme ich nur die Fehlermeldung „Fehler unbekannt“.

Du meinst sicher einen freigegebenen Windows Drucker?

Und bei den Freigaben ist es z.B. egal ob ich die IP oder den Name für die Verbindung eingeben. Er „frisst“ beides nicht….

Das klingt ehrlich gesagt nach einem ganz anderen Problem. Da der Ping ja funktioniert, ist es gut möglich, dass die Server in der Zentrale in Ihrer Windows Firewall ein paar Einstellungen benötigen. Der Standard ist, dass nur fürs lokale Subnetz (192.168.71.x) die Freigaben erlaubt sind. Es fehlt vermutlich die Erlaubnis für das Subnetz 192.168.72.x.

Viele Grüße
Heiko

[pcg0506]

Servus Heiko,

das Ganze ist natürlich (bis auf die Lancom-Router ) alles sehr amateurhaft. Es gibt nur einen DC in der Zentrale. Und mit dem VPN-Tunnel, wollte ich die Domäne von der Zentrale auf den Standort B ausweiten….. Aber Grund benötige ich nur die Windowsfreigaben und die Netzwerkdrucker. D.h. in der Zentrale stehen mehrere Netzwerkdrucker, die ohne den DC funktionieren. Die würde ich gerne in Standort B einbinden (kann sie pingen, aber nicht in Windows installieren). Genauso verhält es sich mit den Windowsfreigabe. Ich kann den DC mit dem Client pingen, kann aber kein Netzlaufwerk verbinden.

Würde es z.B. helfen wenn ich die Netzte gleichschalte. Also auf beiden Seiten die IP 192.168.71.x verwende..?

Und wenn es die Firewall ist, die muss ich dann nicht auf dem Lancom was freischalten… Ich kann ja mal testweise die Firewall auf dem DC deaktivieren…

Es kann aber auch am DNS liegen. Wen ich am DC noch DNS Einträge für 192.168.72.x hinzufüge ?.....

Das Problem ist, ich kann nicht allzu viel „rumspielen“, denn wenn ich die Zentrale „abschieße“ gibt es „Ärger“

Und mal eine Client Anzahl und auch die Geschwindigkeit des VPN-Tunnels könnte interessant sein zu wissen.

Bis jetzt ist in Standort B nur ein Client. Die Zentrale hat eine Telekom DSL Anschluss mit 16 Mbit. Der Standort B hat 6 Mbit... wie gesagt, alles semi-professionell...



Gruß
Peter

[Bernie137]

Hallo Peter,

Würde es z.B. helfen wenn ich die Netzte gleichschalte. Also auf beiden Seiten die IP 192.168.71.x verwende..?

Nein, das macht es in der Konfiguration der beiden Lancoms eher komplizieter und auch die Fehlersuche in beiden Netzen (ping, tracert, nslookup...) in der Praxis führt eher zu Verwirrungen. Das ist eher ein sehr unproffesioneller Weg den man nicht herbei sehnt.

Und wenn es die Firewall ist, die muss ich dann nicht auf dem Lancom was freischalten… Ich kann ja mal testweise die Firewall auf dem DC deaktivieren…

Das ist die große Preisfrage. Orientiere Dich daran, hier spielen gleich mehrer Firewalls rein:

1.FirewallHostNetzA -- 2.FirewallLancomA -- 3.FirewallLancomB -- 4.FirewallHostNetzB

1. Bei Windows im Standard nur "lokales Subnetz" zugelassen = 192.168.71.x, 192.168.72.x ergänzen für Eingehende Regeln Datei- und Druckfreigabe
2. Sind alle TCP+UDP Ports in der Firewall zwischen beiden Netzen zugelassen? Dazu 2 Firewall Regeln erstellen oder modifizieren:
Hin: Allow von 192.168.71.x nach 192.168.72.x alle Ports, Prio 1
Rück: Allow von 192.168.72.x nach 192.168.71.x alle Ports, Prio 1
Ist im IP-Router -> IP-Routing Tabelle die Blockroute 192.168.0.0 deaktiviert?
Standard Firewall Rule WINS auf Prio 0 belassen
3. wie 2.
4. wie 1. jedoch ist lokales Subnetz 192.168.72.x

Was die IP-Ports angeht, sind folgende min. notwendig über den VPN-Tunnel und mit Punkt 2 von oben realisiert:
Windows Freigaben (Ordner+WindowsDruckfreigbe): Netbios: 137-139 TCP+UDP, CIFS TCP445

D.h. in der Zentrale stehen mehrere Netzwerkdrucker, die ohne den DC funktionieren. Die würde ich gerne in Standort B einbinden (kann sie pingen, aber nicht in Windows installieren).

IP-Druck: TCP515 (lpr), TCP9100 (Toshiba TCP10001)

Bis jetzt ist in Standort B nur ein Client. Die Zentrale hat eine Telekom DSL Anschluss mit 16 Mbit. Der Standort B hat 6 Mbit... wie gesagt, alles semi-professionell...

D.h. der Client kann eine Datei mit max. 1MBit laden und max 512 KBit zurückspeichern (jeweils die Upload Speed).

Viele Grüße
Heiko

[pcg0506]

Servus Heiko,

danke für Deine Hilfe.
Ich hänge aber an den Firewall Regeln. Wo pflege ich die ? In der Regeltabelle unter IPV4 darf ich bei Quelle / Ziel keine IPs eingeben…. Bin da wahrscheinlich falsch…

2. Sind alle TCP+UDP Ports in der Firewall zwischen beiden Netzen zugelassen? Dazu 2 Firewall Regeln erstellen oder modifizieren:
Hin: Allow von 192.168.71.x nach 192.168.72.x alle Ports, Prio 1
Rück: Allow von 192.168.72.x nach 192.168.71.x alle Ports, Prio

Ansonsten habe ich folgendes bereits umgesetzt:
In der Firewall vom DC stand bereits bei der Druckerfreigabe drin, dass alle IPs angenommen werden. Ich habe jetzt zusätzlich hinzugefügt, dass Edgeanfragen angenommen werden.
Auf beiden Routern habe ich die Blockroute 192.168.0.0. deaktiviert.

Danke und Gruß
Peter

[Bernie137]

Hallo Peter,

Ich hänge aber an den Firewall Regeln. Wo pflege ich die ? In der Regeltabelle unter IPV4 darf ich bei Quelle / Ziel keine IPs eingeben…. Bin da wahrscheinlich falsch…

Doch, bei Stationen. Eine Regel ist Quelle 192.168.71.x/24 Ziel 192.168.72.x/24 Priorität 1 und eine 2. Regel mit Priorität 1 und die Netze (Quelle/Ziele) umgekehrt.

In dieser Anleitung ist es schön bebildert. Ganz weit unten steht "Fügen Sie auf der Registerkarte Stationen als Quelle die Auswahl Eine IP-Adresse oder ein Bereich von IP-Adressen
mit der Angabe von '192.168.100.100' bis '192.168.100.100' hinzu und wählen Sie als Ziel Ein ganzes Netzwerk mit
der Angabe 192.168.200.0 / 255.255.255.0 aus." Das setzt Du für Eure Situation einfach um bzw. kontrollierst die vorhandenen Firewall Regeln, oder postest die Rules mal hier.

Viele Grüße
Heiko

[pcg0506]

Sorry Heiko!!,

das ich mich die ganze Zeit nicht gemeldet habe. Etwas weiter bin ich in der Zwischenzeit gekommen. Aber mangels Zeit und Gerätschaften…..
Dank Dir kann ich jetzt die Freigaben aus Standort A in Standort B über die IP-Adressen mounten. Auch die Drucker findet er über die IP Adressen.
Leider geht WINS noch nicht! Das macht Problem bei den Druckern. Ich habe eine Default Regel gefunden in der Firewall die wohl alle WINS-Anfragen blockt. Die habe ich jetzt mal deaktiviert. Testen konnte ich das aber noch nicht, weil zurzeit nur ein PC ohne Domänen-Anbindung in dem Standort B steht.

Ich melde mich noch mal nächste Woche mit den Finalen Test und den Einträgen in der Firewall.
Aber schon mal vielen Dank ! bin einen großen Schritt weiter.

Gruß
Peter