Deutsch

Hallo Forum,

ich betreibe m0n0wall auf einem PC mit 3 Nics.
Nic0 (rtl_0) ist Wan (Feste IP der T-Com).
Nic1 (rtl_1) ist Lan (192.168.1.252).
Nic3 (rtl_2) ist Opt1(noch leer).

Im Netwerk gibt es ein Windows 2003 Server als AD Contoller.

Jetzt möchte ich per Internet von Extern mich an die Domäne registrieren | anmelden.

Die feste IP der T-Com ist auf dem Laptop als DNS eingetragen.

Beim Versuch das Laptop an der Domäne zu registrieren, wird mir auch der DC mit pc-name.standort.domain.de
angezeigt, es wird aber keine Verbindung aufgebaut.

Jetzt ist meine Überlegung auf dem Opt1 Nic eine DMZ einzurichten und den DC direkt an den Port azuschließen.

Wie muß ich den Nic Bridgen? Mit Lan oder Wan. Sollte dann die Registrierung | Anmeldung klappen?

Ich bin relative Fit was den DC angeht, aber ein absoluter Neuling in sachen m0n0wall.

Ich habe jetzt DHCP auf der monowall eingerichtet und lasse die leases an den DNS des DC's weiterreichen.
Die DNS Weiterleitung ist in monowall aktiviert.

Ich hoffe auf hilfreiche Antworten.

LG
Tom

Hallo Forum,

ich betreibe m0n0wall auf einem PC mit 3 Nics.
Nic0 (rtl_0) ist Wan (Feste IP der T-Com).
Nic1 (rtl_1) ist Lan (192.168.1.252).
Nic3 (rtl_2) ist Opt1(noch leer).

Im Netwerk gibt es ein Windows 2003 Server als AD Contoller.

Jetzt möchte ich per Internet von Extern mich an die Domäne registrieren | anmelden.

Die feste IP der T-Com ist auf dem Laptop als DNS eingetragen.

Beim Versuch das Laptop an der Domäne zu registrieren, wird mir auch der DC mit pc-name.standort.domain.de
angezeigt, es wird aber keine Verbindung aufgebaut.

Jetzt ist meine Überlegung auf dem Opt1 Nic eine DMZ einzurichten und den DC direkt an den Port azuschließen.

Wie muß ich den Nic Bridgen? Mit Lan oder Wan. Sollte dann die Registrierung | Anmeldung klappen?

Ich bin relative Fit was den DC angeht, aber ein absoluter Neuling in sachen m0n0wall.

Ich habe jetzt DHCP auf der monowall eingerichtet und lasse die leases an den DNS des DC's weiterreichen.
Die DNS Weiterleitung ist in monowall aktiviert.

Ich hoffe auf hilfreiche Antworten.

LG
Tom

Das wird so nicht funktionieren. Aus welchem Grund möchtest Du Rechner aus dem Internet (Extern) ein Notebook bei Deinem Domänen Controller registrieren.

Das geht so nicht. Der Client aus dem Internet macht NAT zum Domain Controller, das unterstützt Microsoft nach meinen Informationen nicht. Es geht nur in im AD definierten Netzwerken, sobald sich ein Client hinter NAT verteckt klappt das nicht mehr. In Deiner Konfiguration ist der Client auf einer öffentlichen IP Adresse (oder hinter einem anderen NAT Router). Ausserdem musst Du für den Zugriff aus dem Internet alle Ports des Domain Controller ins Internet öffnen. Da hacke ich mir vorher ein Bein ab, bevor ich so etwas tun würde.
 
Du benötigst eine zweite MonoWall und eine VPN zwischen beiden MonoWall's und damit zwei Subnetze an den beiden Standorten. Du kannst den Domain Controller als DNS und DHCP Server in beiden Standorten verwenden, die Funktionalität DHCP der Monowall's musst Du abstellen.

Das habe ich so noch mit der MonoWall nie getestet, aber ich habe bereits ein recht großes AD designed und implemetiert. Als Firewalls haben wir damals Checkpoint FW1 verwendet, die Kopplung der Standorte zuerst über VPN, später mit MPLS. Aber das Grundprinzip ist immer das gleiche. 


Eine weitere Alternative ist der in der MonoWall eingebaute VPN Server, aber lies mal die Dokumentation zur MonoWall. Aber auch dann muss der Client erst in AD aufgenommen werden.

(Vergesst dem Microsoft RAS Service, es geht auch ohne!)

Was hast Du denn vor?

Gruss

F41THR

Hallo F41THR,

es geht darum auf einen DC der Zentral an einem Ort steht, über Clienten ausserhalb des Netzwerkes, zuzugreifen.

Aus Kostengründen, kann nicht an jedem Standort, Teilweise auch nur 1 PC pro Standort, eine Replikationsserver stehen.

Die Monowall pro Standort kann ich erklären.

So wie ich es jetzt verstanden habe, bringe ich jeden Clienten erstmal im Netzwerk des DC in die Domäne rein.

Dann erstelle ich von jedem Standort aus mit monowall eine VPN-Verbindung zu monowall vorm Server. Dann kann ich mich ganz normal mit den Clienten Anmelden.

Ist das so korrekt?

Gruß
Tom

Hallo F41THR,

es geht darum auf einen DC der Zentral an einem Ort steht, über Clienten ausserhalb des Netzwerkes, zuzugreifen.

Aus Kostengründen, kann nicht an jedem Standort, Teilweise auch nur 1 PC pro Standort, eine Replikationsserver stehen.

Die Monowall pro Standort kann ich erklären.

So wie ich es jetzt verstanden habe, bringe ich jeden Clienten erstmal im Netzwerk des DC in die Domäne rein.

Dann erstelle ich von jedem Standort aus mit monowall eine VPN-Verbindung zu monowall vorm Server. Dann kann ich mich ganz normal mit den Clienten Anmelden.

Ist das so korrekt?

Gruß
Tom

Genau, Clients in die Domäne. Das ist erst einmal Vorraussetzung.  Du benötigst auch nicht zwingend einen MonoWall an jedem Standort, nur an den Standorten an dem Du mehr als einen Client hast oder an dem Du vielleicht einen Netzwerkdrucker benötigst. Siehe unten.

Klingt nach HomeOffice Lösung, bzw. einer reinen Remote Access Lösung.

Wie ist den die Netzwerkanbindung der Standorte? Per DSL ins Internet?
Dann würde ich an Standorten mit einem Client mit der VPN Client Variante beginnen, Du richtest auf der MonoWall einen VPN Server ein (Siehe Dokumentation) und gehst mit dem entsprechenden VPN Client (Ebenfalls MonoWall Dokumentation) über das Internet in Dein lokales Netzwerk in dem der DC steht.

Als ersten Test, wenn das erfolgreich funktioniert kannst Du weitere Schritte unternehmen und Dein Netzwerk passend zu den Anforderungen Deines Unternehmens aufbauen. Ggf. mit zusätzlicher MonoWall.

Nein und an die Standorte muss nichts repliziert werden. Ein DC gehört ins RZ, wenn an kleiner Standorten kein abschliessbarer DATA Com Raum vorhanden ist, stellt man keine Kopie eine DC dort ab.

Ich habe leider wenig Zeit, vielleicht können wir nächste Woche mal per PM kommunieren, ggf. telefonieren. Wenn ich dazu komme skizziere ich Dir das mal.

Da gibt es noch ein paar Dinge in Bezug auf DNS, aber das unterstützt die MonoWall meines Wissens nach ebenfalls.

Was für Dienste sollen die Clients den verwenden? Anmeldung, Fileshare Zugriff in der Zentrale, Softwareverteilung, Patchverteilung,, Antivirus Pattern,, usw...? Sollen die Clients auch Zugriff ins Internet bekommen? Das geht alles ;->

Die Anzahl der Standorte/Clients wäre noch interessant. Der PC sollte schon entsprechende Performance haben, wenn die Anzahl der Standorte/Clients zunimmt.

Gruss

F41THR

Alle Standorte haben einen T-Com Business DSL Anschluß mit ner 6000 Leitung und fester IP.

Neben dem Server Standort

-> Server + 1PC der Chefin (Windows XP Pro)

gibt es noch 2 weiter Standorte:

Standort A: 5 Clienten (alle Windows XP Pro)
Standort B: 1 Client (Windows XP Pro)

Aufgaben sollen sein:

Anmeldung
Fileshare Zugriff in der Zentrale
Verteilen von Vorlagen für Office / Open Office
Halten der Email Daten (Mozilla Thunderbird) wird per Script beim ersten Login angepasst.
FaxServer (per ActiveFax) wenn möglivh, wenn nicht Insellösungen
Softwareverteilung
Patchverteilung

Antivirus wird wohl erstmal eine Insellösung werden.

Das ganze ist notwendig, da 2 der Mitarbeiter zwischen den Standorten hin und her wechseln.

Weiter wird es eine Termin und Kundenverwaltung geben die ich mit Joomla umsetze.

Der Server ist ein Dell PowerEdge 4400. Etwas betagt aber läuft wie ein Uhrwerk.

Hab Deine Mail bekommen.

Wer mal hier bei mir ein wenig testen.

Grüße

Tom