Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 38 subscribers
  • Views 20232 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Keine Verbindung hinter RED

Strontium81
Hallo,

es besteht folgendes Problem,

ich schließe eine Astaro 10 RED an eine Außenstelle an, die mit einem Speedport w700v router und einer festen ip versehen ist. Wenn ich alle Einstellungen so beibehalte wie es Astaro vorschlägt und den "einfachen Anweisungen" folge, baut die RED zu meinem ASG 220 sogar einen Tunnel auf. Nun passiert aber folgendes: Der Tunnel bricht in regelmäßigen abständen zusammen obwohl die DSL Verbindung defeinitv steht. Desweiteren ist es auch so, das ich die Rechner die ich hinter der RED anschließe nicht in das Netzt des ASG bekomme. Ich benutze das ASG bisher nicht als DHCP, sondern habe in unserer Domäne einen eigenen DHCP Server. Ich möchte aber eben gerne PC´s in Außenstellen gern in unsere Domäne aufnehmen. Astaro bot eben diesen Service mit AStaro RED " Spielend einfach" an. Ich hoffe mir kann jemand helfen. Für Rückfragen bin ich jederzeit gern zu haben vielen Dank.


This thread was automatically locked due to age.
  • 0
    Öhmmm, gute Frage... Habe den DHCP Relay selbst noch nie verwendet.

    Spontan würde ich jetzt mal tippen der erkennt das selbst anhand der internen IP des RED (die ist ja fix vergeben und im selben Subnet wie die DHCP Clients sein müssen)

    Was ich bei meinen Kunden als PF meistens brauche ist:

    • DNS (auf den internen DC)
    • HTTPS (für Excahnge, RPC over HTTPS)
    • Windows Networking (Vordefinierte Gruppe in dem ASG)
    • Active Directory (Hab mir dafür eine Gruppe erstellt die tipp topp funktioniert, s. Anhang)
      "RPC Dyn." ist ein eingeschränkter Range (bei mir 40100-41099), welcher auf dem AD angepasst werden muss. Sonst musst du alles von 1024-65535 öffnen. In 2008+ ist das aber relativ simpel, bei 2003 etwas Registry gefummel...)


    Wenn "die andere Seite" jedoch sehr vertrauenswürdig ist, kann man natürlich auch einfach alle Ports öffnen. Ich bin jedoch der Security Fanatiker und mache alles zu was es nicht unbedingt braucht, auch wenn das einiges mehr an Arbeit ist.
  • 0 in reply to UrsWeiss
    hmmm, das könnte für die zukunft hilfreich sein [:)] Danke.

    Nochmal was anderes, wie hast du die Schnittstelle DES REDs eigentlich genau konfiguriertt. Also welche Attribute?
  • 0
    Eigentlich nichts spezielles. Halt wie ein ganz normales Ethernet Interface.
  • 0 in reply to UrsWeiss
    Hallo,

    habe es nun geschafft die Verbindung herzustellen, die Rechner hinter der RED ziehen sich sogar eine IP von meinem DHCP Server, allerdings ist die Netzwerkverbindung nur einseitig, ich kann die Rechner nicht in meine Domäne aufnehmen. Ich habe innerhalb der Paketfilterregeln den RED PC´s alle dienste ins Hauptnetz freigegeben und umgedreht. Irgendeine Idee?
  • 0 in reply to Strontium81
    Sorry, war gestern und heute bei einem Kunden.

    Stimmt der DNS den die Clients haben (vom DHCP bekommen)? Das muss der Interne DNS vom Hauptnetz sein damit er die Domain findet.
  • 0 in reply to UrsWeiss
    Jap den stell ich bei den Bereichsoption auf dem DHCP ein. Ich bekomme jetzt auch einen Ping in beide Richtung, mein DHCP im Hauptnetzt zeigt den Rechner sogar im Adressrelease an, dennoch kann ich net aufs Netzwerk zugreifen bzw. den Rechner in die Domäne aufnehmen ??????????[:(]
  • 0
    Dann prüf auf dem Client mal den DNS, ob der Client den Domaincontroller auch finden würde: 
    nslookup -querytype=SRV _ldap._tcp.dc._msdcs.DOMAIN.XYZ

    oder auch: 
    nltest /dsgetdc[:D]OMAIN.XYZ

    Da müsste bei beidem etwas raus kommen.

    Vom Hauptnetz in die Aussenstelle müssen keine Ports offen sein um die PC's in die Domäne aufzunehmen.
  • 0 in reply to UrsWeiss
    Hallo, 

    ich erhalte bei beiden Befehlen die Meldung:

    Server: Unknown
    Adress: 192.1.1.4

    DNS request time out...
  • 0
    192.1.1.4 ist aber sicher nicht der interne DNS, oder??? Das ist eine Public IP.
  • 0 in reply to UrsWeiss
    Doch ist der interne DNS 192.1.1.4/21 .
    Habe jetzt durch das Beheben eines Fehlers in der Maskierung geschafft folgenden Ausdruck bei nslookup zu erhalten.

    Server: SRV001.domäne.de
    Address: 192.1.1.4 

    So weit so gut aber die Domänenaufnahme funzt trotzdem net...?
Unfiltered HTML