Toon posts:

[win2003][RRAS/VPN] aparte ip adresen voor vpn clients

Pagina: 1
Acties:

woensdag 26 juli 2006 15:19

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
We hebben hier een server die o.a. netwerk infra (DHCP DNS NAT/RRAS & VPN) doet.

Echter de vpn clients krijgen ip adressen in dezelfde range als de lokale clients. Omdat we dit anders willen, i.v.m. perrfomance monitoring, vraag ik me af of dit mogelijk is.
We willen dat VPN-server Of zelf ipadressen gaat verzinnen
Of dat de DHCP server een aparte range krijgt voor VPN-clients.

Ik weet wel dat de DHCP option verandert kunnen worden per user class, maar dit is pas nadat er een IP adres is uitgedeeld. Ook ben ik me er van bewust dat de ipadressen in worden afgenomen van de DHCP om vervolgens uitgedeeld te worden door de RRAS.....

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

woensdag 26 juli 2006 15:25

Acties:
  • Operations
  • Registratie: Juni 2001
  • Laatst online: 01-04 23:22

Operations

ajslaghu schreef op woensdag 26 juli 2006 @ 15:19:
We hebben hier een server die o.a. netwerk infra (DHCP DNS NAT/RRAS & VPN) doet.

Echter de vpn clients krijgen ip adressen in dezelfde range als de lokale clients. Omdat we dit anders willen, i.v.m. perrfomance monitoring, vraag ik me af of dit mogelijk is.
We willen dat VPN-server Of zelf ipadressen gaat verzinnen
Of dat de DHCP server een aparte range krijgt voor VPN-clients.

Ik weet wel dat de DHCP option verandert kunnen worden per user class, maar dit is pas nadat er een IP adres is uitgedeeld. Ook ben ik me er van bewust dat de ipadressen in worden afgenomen van de DHCP om vervolgens uitgedeeld te worden door de RRAS.....
Laat maar even hangen, wat waar ik zei dat het zou zitten zit het dus niet. Kan niet eerder kijken dan vanavond voor je zal dat wel ff doen.

[ Voor 17% gewijzigd door Operations op 26-07-2006 15:34 ]

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

woensdag 26 juli 2006 15:36

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
aargh wel een erg blinde vlek vandaag. Ik ga snel kijken....

....
Properties van de RAS server , de tabblad (IP) , static adress pool. Hij geeft vervolgens wel stiekum de juist gateway/dns door, identiek aan die van de lokale clients!

Wel jammer dat het niet via DHCP kan, vond juist die centrale controle wel lekker. Ook matig dat je de mac adressen niet kan zien via RAS VPN. Misschien volgende server maar eens switchen naar L2PT, met certificaten, dan kan je iig de computers van de company nog enigszins herkennen.

[ Voor 81% gewijzigd door ajslaghu op 26-07-2006 15:49 . Reden: update ]

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

woensdag 26 juli 2006 15:40

Acties:
  • Operations
  • Registratie: Juni 2001
  • Laatst online: 01-04 23:22

Operations

ajslaghu schreef op woensdag 26 juli 2006 @ 15:36:
aargh wel een erg blinde vlek vandaag. Ik ga snel kijken
RRAS - rechtermuisknop op je Server - Tabblad IP - en dan stukje IP address Assignment. Hier moet je zijn dacht ik.

PC1: ASUS B850-Plus WiFi -- 9900X incl. X72 -- 64GB DDR5-6000Mhz -- Kingston Fury Renegade G5 2TB -- DELL 4025QW | Servers: 2x DELL R730 -- E5-2660 v4 -- 256GB -- Synology DS3617xs: 4x1,92TB SSD RAID F1 -- 6x8TB WD Purple RAID5

vrijdag 28 juli 2006 11:12

Acties:
  • ElCondor
  • Registratie: Juni 2001
  • Nu online

ElCondor

Geluk is Onmisbaar

Ik heb er ook al eens naar gekeken, maar ik hebniet in kunnen stellen dat de RAS server van de DHCP server een eigen range krijgt. Hij krijgt een range IP's in een actieve scope. Hoe je die een eigen scope kunt assignen durf ik niet te zeggen.
Je kunt dus wel de RAS server zijn eigen range geven op het tabblad IP instellingen van de RAS server, maar dan moet je volgens mij nog een static route maken van de IP range van je RAS clients naar de IP range van je gewone netwerk. Ook daar ben ik nog niet achter hoe je dat precies doet.

Iemand?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

vrijdag 28 juli 2006 17:20

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Nu online

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Je zou even naar volgend artikel kunnen kijken:

IP Address Assignment and the Routing and Remote Access Service

Ik vraag me wel af wat de exacte reden van deze beslissing is. De enige reden die ik voor kan stellen is het eenvoudiger identificeren van RAS/VPN clients. Ik ben benieuwd wat voor performance metingen je uit gaat voeren, en waarom je hiervoor "off-subnet-addresses" in gaat zetten.
ElCondor schreef op vrijdag 28 juli 2006 @ 11:12:Je kunt dus wel de RAS server zijn eigen range geven op het tabblad IP instellingen van de RAS server, maar dan moet je volgens mij nog een static route maken van de IP range van je RAS clients naar de IP range van je gewone netwerk. Ook daar ben ik nog niet achter hoe je dat precies doet.
Volgens bovenstaand artikel zou dit automatisch moeten gaan:
For off-subnet addresses, the remote access server acts as a router, forwarding the packet between a neighboring node on an attached subnet (typically a router) and a connected remote access client.
Wel zullen je andere routers op de hoogte gebracht moeten worden van de extra route (middels een statische route of een routeringsprotocol als OSPF, RIP ,etc)

[ Voor 66% gewijzigd door Question Mark op 28-07-2006 17:31 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 juli 2006 22:58

Acties:
  • mookie
  • Registratie: Juni 2002
  • Laatst online: 15-06-2025

mookie

Heerlijk Helder

De easy way is inderdaad met die static pool.
De hard way is met een ede netwerkkaart in je RAS server en je DHCP server een 2de adres geven.

de hard way:
stel dat je LAN de range 10.1.1.x gebruikt.

3de kaart in je RAS server, gewoon op je LAN inpluggen.
IP adres geven uit de range die je uit wilt delen, stel 10.1.2.1 met mask 255.255.255.0
Vervolgens op je NIC in de dhcp server een 2de adres instellen in die range, b.v. 10.1.2.2
Daarna scope aanmaken, b.v. 10.1.2.100 tot 10.1.2.200 en activeren.
Daarna op je RAS server rechter muisknop op ports -> properties -> tabblad IP -> onderaan het tabblad kun je kiezen welke kaart gebruikt wordt voor DHCP, DNS en WINS, daar geef je de 3de kaart in.
Nu weet ik alleen niet zeker of de routering in 1 keer werkt. In principe moet dit werken.
Controleer dit: rechtermuisknop op je server in de RRAS console en kies properties.
Routing moet aangevinkt zijn, waar de radio button staat maakt niet uit, standaard staat hij op LAN and demand-dial routing.

Nu vraag ik mezelf nog steeds af: wat wil je nu monitoren en waarmee ga je dat doen?

mookie

vrijdag 28 juli 2006 23:07

Acties:
  • mookie
  • Registratie: Juni 2002
  • Laatst online: 15-06-2025

mookie

Heerlijk Helder

en in reply op dit (niet onaardig bedoeld):

Wel jammer dat het niet via DHCP kan, vond juist die centrale controle wel lekker. Ook matig dat je de mac adressen niet kan zien via RAS VPN. Misschien volgende server maar eens switchen naar L2PT, met certificaten, dan kan je iig de computers van de company nog enigszins herkennen.

Je ziet geen MAC addressen omdat ze niet op je LAN zitten.
Ethernet gebruikt MAC addressen, TCPIP niet, die gebruikt IP addressen. Daarom kun je ook geen MAC reservations gebruiken. Het MAC address zal dat van je RRAS server zijn.

L2TP (niet L2PT) zal daar niets aan veranderen. ook niet omdat L2TP enkel de tunneling is, IP-SEC kan met certificaten die tunnel vervolgens beveiligen.

Als je echt controle wilt en mooi wilt kunnen rapporteren zou ik ISA server aanschaffen.
Wel pittig in prijs: 1350 euro maar je kunt er echt veel meer mee qua beveliging, beheer, rapportage en vele extra features (mits je het bestudeerd en juist configureerd).

mookie

Pagina: 1
Reageer