Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hilfe bei Netzwerkkonfig eines AD-Servers

Hallo,

wir haben in unserem Unternehmen 3 separate DSL-Netze, welche vom Produktivnetz entkoppelt und auf 3 Standorte verteilt sind. An jedem Standort übernimmt jeweils ein Astaro Security Gateway (110/120) die Firewall- und Routingfunktion.
Jeder User soll sich mit einem Login am Proxy-Server eines jeden ASG anmelden und dieser soll die Authentifizierung gegen einen AD-Server vornehmen.

Meine Frage ist nun, ob es möglich ist, diesen AD-Server nur an einem Standort zu betreiben, sodass die anderen 2 ASG diesen über einen VPN-Tunnel ansprechen können.
Außerdem habe ich das Problem, dass ich mit der Netzwerkkonfiguration des Servers nicht so recht voran komme. Ich habe den Server direkt an die Astaro angeschlossen (eth3), kann ihn jedoch pingmäßig nicht erreichen. Die Schnittstelle eth3 hat bei mir die IP-Adresse 192.168.0.103 und der AD-Server die Adresse 192.168.0.105. Ich möchte nun außer der Authentifizierungsmöglichkeit noch die Funktion haben, dass ich mit einem Admin-Rechner per Remote ebenfalls auf diesen zugreifen kann.

Ich weiß, das sind ziemlich viele Fragen auf einmal, aber irgendwie bedingt sich jedes Problem gegenseitig. Mir würde auch schon ein Link zu einer Ressource genügen wo ich so eine Konfiguration nachlesen könnte, jedoch habe ich schon fast die gesamte Knowledgebase durchgelesen und finde keine konkrete Antwort darauf.

Ich würde mich freuen wenn mir jemand von euch weiterhelfen bzw. ein paar Tipps zu den oben genannten Fragen geben könnte.

Vielen Dank im Voraus.
Gruß Corain


This thread was automatically locked due to age.
Parents
  • Moin ...,

    Dröseln wir das doch mal auf ...:

    Hallo,

    wir haben in unserem Unternehmen 3 separate DSL-Netze, welche vom Produktivnetz entkoppelt und auf 3 Standorte verteilt sind. An jedem Standort übernimmt jeweils ein Astaro Security Gateway (110/120) die Firewall- und Routingfunktion.
    Jeder User soll sich mit einem Login am Proxy-Server eines jeden ASG anmelden und dieser soll die Authentifizierung gegen einen AD-Server vornehmen.

    Meine Frage ist nun, ob es möglich ist, diesen AD-Server nur an einem Standort zu betreiben, sodass die anderen 2 ASG diesen über einen VPN-Tunnel ansprechen können.

    Darin sehe ich kein Problem, das sollte möglich sein. Einfach bei den Aussenstellen entsprechende Firewall / Routingregeln erstellen.


    Außerdem habe ich das Problem, dass ich mit der Netzwerkkonfiguration des Servers nicht so recht voran komme. Ich habe den Server direkt an die Astaro angeschlossen (eth3), kann ihn jedoch pingmäßig nicht erreichen. Die Schnittstelle eth3 hat bei mir die IP-Adresse 192.168.0.103 und der AD-Server die Adresse 192.168.0.105. Ich möchte nun außer der Authentifizierungsmöglichkeit noch die Funktion haben, dass ich mit einem Admin-Rechner per Remote ebenfalls auf diesen zugreifen kann.


    Hast du per Paketfilterregeln erlaubt, dass man auf diesen Rechner zugreifen kann? Da würde ich als erstes schauen, da es eigentlich sonst funktionieren müsste. Du musst die ASG auch als Gateway auf deinem Client eingetragen haben um den AD-Server zu erreichen.

    Wie sieht denn dein normales Netz aus? Also welche IPs hast du normalerweise für ASG und dein "normales" Netz vergeben?


    Ich weiß, das sind ziemlich viele Fragen auf einmal, aber irgendwie bedingt sich jedes Problem gegenseitig. Mir würde auch schon ein Link zu einer Ressource genügen wo ich so eine Konfiguration nachlesen könnte, jedoch habe ich schon fast die gesamte Knowledgebase durchgelesen und finde keine konkrete Antwort darauf.

    Ich würde mich freuen wenn mir jemand von euch weiterhelfen bzw. ein paar Tipps zu den oben genannten Fragen geben könnte.

    Vielen Dank im Voraus.
    Gruß Corain


    Nunja, bis jetzt ging es noch [[;)]] Versorg mich noch etwas mit Infos und wir bekommen das schon hin. [[;)]]
  • Vielen Dank für die schnelle Antwort ...


    Wie sieht denn dein normales Netz aus? Also welche IPs hast du normalerweise für ASG und dein "normales" Netz vergeben?


    Ich denke ich beantworte das mal als erstes, dann kannst Du Dir ein besseres Bild machen.
    Derzeit ist der ASG noch hinter einem Router, was aber erst einmal irrelevant sein sollte, da dieser später dann durch den ASG ersetzt wird.

    1. An eth0 hängen alle Clients (auch der Admin-Client) hinter einem Switch.
    Eth0 (Internal) hat als Adresse 192.168.0.101 (incl. DHCP-Server, Range 192.168.0.110 - 192.168.0.199 für die Clients)


    2. An eth1 hängt im Moment noch ein Netgear-Router, später dann direkt das DSL-Modem.
    Eth1 bekommt derzeit seine Adresse noch vom DHCP des Netgear-Routers


    3. An eth2 hängt der AD-Server (per Crossover).
    Eth2 hat als Adresse 192.168.0.103, der AD-Server selbst die 192.168.0.105
    Als Gateway auf dem AD habe ich 192.168.0.103 (eth2) eingegeben und als DNS 192.168.0.101 (Internal).
    --> mag sein, dass hier schon der Fehler liegt, zumindest vermute ich es irgendwie :-/





    Hast du per Paketfilterregeln erlaubt, dass man auf diesen Rechner zugreifen kann? Da würde ich als erstes schauen, da es eigentlich sonst funktionieren müsste. Du musst die ASG auch als Gateway auf deinem Client eingetragen haben um den AD-Server zu erreichen.


    Ich hab temporär mal eine Any-Any-Any Allow-Regel als Top definiert, um ein Problem mit dem Packet Filter auszuschließen.
    Die ASG als Gateway [:S] ... wäre das dann eth2 oder eth0?


    Ich denke das sollte erstmal reichen, sobald ich das zum Laufen bringe, wäre ich schon mal einen groooooßen Schritt weiter [;)]
Reply
  • Vielen Dank für die schnelle Antwort ...


    Wie sieht denn dein normales Netz aus? Also welche IPs hast du normalerweise für ASG und dein "normales" Netz vergeben?


    Ich denke ich beantworte das mal als erstes, dann kannst Du Dir ein besseres Bild machen.
    Derzeit ist der ASG noch hinter einem Router, was aber erst einmal irrelevant sein sollte, da dieser später dann durch den ASG ersetzt wird.

    1. An eth0 hängen alle Clients (auch der Admin-Client) hinter einem Switch.
    Eth0 (Internal) hat als Adresse 192.168.0.101 (incl. DHCP-Server, Range 192.168.0.110 - 192.168.0.199 für die Clients)


    2. An eth1 hängt im Moment noch ein Netgear-Router, später dann direkt das DSL-Modem.
    Eth1 bekommt derzeit seine Adresse noch vom DHCP des Netgear-Routers


    3. An eth2 hängt der AD-Server (per Crossover).
    Eth2 hat als Adresse 192.168.0.103, der AD-Server selbst die 192.168.0.105
    Als Gateway auf dem AD habe ich 192.168.0.103 (eth2) eingegeben und als DNS 192.168.0.101 (Internal).
    --> mag sein, dass hier schon der Fehler liegt, zumindest vermute ich es irgendwie :-/





    Hast du per Paketfilterregeln erlaubt, dass man auf diesen Rechner zugreifen kann? Da würde ich als erstes schauen, da es eigentlich sonst funktionieren müsste. Du musst die ASG auch als Gateway auf deinem Client eingetragen haben um den AD-Server zu erreichen.


    Ich hab temporär mal eine Any-Any-Any Allow-Regel als Top definiert, um ein Problem mit dem Packet Filter auszuschließen.
    Die ASG als Gateway [:S] ... wäre das dann eth2 oder eth0?


    Ich denke das sollte erstmal reichen, sobald ich das zum Laufen bringe, wäre ich schon mal einen groooooßen Schritt weiter [;)]
Children
  • Hallo Schroeder,

    ich danke Dir, dass Du versucht hast mir zu helfen, ich habe jedoch jetzt herausgefunden, dass es meine Dummheit war [8-)]

    Es ist anscheinend nicht möglich eine Verbindung zum AD-Server herzustellen (jedenfalls habe ich es einfach nicht hinbekommen), wenn dieser im gleichen Netz (IP-Range Internal) hängt.
    Ich habe ihn zusammen mit dem eth2-Port der Astaro jetzt in ein komplett anderes Netz gehängt und eine Masquerading Rule erstellt, damit funktioniert es letztendlich wunderbar.

    Sry für die Belästigung, nun kommt die Konfig der S2S-Verbindung ...

    Vielen Dank noch einmal.
    Gruß Corain