Proxy-ARP nodig?

Ik heb de volgende situatie: (Plaatje is helaas een beetje klein, klik erop om te vergroten)



Ik heb een aantal Cisco vpn clients die verbinding maken met het netwerk.
De Cisco router (1802-k9) bedeelt deze clients een ip uit de range 192.168.4.50 – 100)
Onze interne clients zitten op het netwerk achter een smallbusiness 2000 server welke fungeert als AD, Proxy en Ras server. Ik wil bereiken dat de vpn clients, pc’s uit het interne netwerk kunnen bereiken.

In de 2000 server staan de volgende routes.
Actieve routes:

Actieve routes:
Netwerkadres Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 1
82.73.62.156 255.255.255.255 192.168.2.1 192.168.2.2 1
82.74.60.112 255.255.255.255 192.168.2.1 192.168.2.2 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 1
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.181 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 1
192.168.2.0 255.255.255.0 192.168.2.2 192.168.2.2 1
192.168.2.2 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.2.255 255.255.255.255 192.168.2.2 192.168.2.2 1
224.0.0.0 224.0.0.0 192.168.1.1 192.168.1.1 1
224.0.0.0 224.0.0.0 192.168.2.2 192.168.2.2 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
Standaard-gateway: 192.168.2.1


In de Cisco router heb ik ook een route aangemaakt en wel de volgende

Netwerk Subnet Interface
192.168.1.0 255.255.255.0 Vlan 1 (192.168.2.1)
192.168.4.0 255.255.255.0 Vlan 1 (192.168.2.1)

Wanneer ik een VPN verbinding opzet kan ik de clients achter de 2000 server niet pingen.

Ik heb in de cisco router al debug ip detail gedaan zodat ik kan zien waar het mis gaat.
De cisco geeft bij het pingen naar 192.168.1.15 de volgende foutmelding: encapsulation failed” error. Zoeken op internet leert mij dat het mogelijk iets met een ARP request te maken heeft. Dit bevestigd mijn ethereal, als ik hiermee sniffer zie ik dat er een request gedaan wordt met de vraag "Who has 192.168.1.15".
Zover als ik weet kan windows 2000 server geen proxy-arp zijn (corrigeer mij als ik dit verkeerd heb). Is het nodig dat de wiindows 2000 server een proxy-arp server is, of is er een andere mogelijkheid?

[ Voor 14% gewijzigd door Verwijderd op 28-01-2008 18:33 ]

Brahiewahiewa schreef op maandag 28 januari 2008 @ 18:32:
Waarom heb je op de server geen route naar 192.168.4.0?

Omdat het verkeer sowieso naar 192.168.2.1 (router) moet.
Het heeft mijn inziens geen zin om op de server aan te geven dat hij naar 192.168.2.1 moet routen als het een 4.0 adres betreft. 192.168.4.0 adres vindt hij immers niet in zijn eigen netwerk, dus gaat hij sowieso via de default gateway naar de router. Of heb ik dit mis?

CyBeR schreef op maandag 28 januari 2008 @ 18:41:

code:

1	192.168.1.0 255.255.255.0 Vlan 1 (192.168.2.1)

Da's ook helemaal geen goede route. Dat moet via 192.168.2.2 gaan.

Dit heb ik reeds al geprobeerd. Helaas zonder enig resultaat.
zijn jullie met mij van mening dat deze oplossing sowieso wel moet gaat werken?

Dient bij routing, altijd bekend te zijn welk mac-adres de andere ontvanger heeft?

CyBeR schreef op maandag 28 januari 2008 @ 18:54:

Als win2k server ook aan routing doet en de clients 'm als default route gebruiken wel.

De win2k server doet aan routing en de client's gebruiken hem als default gateway. Dus dat moet allemaal goed gaan.

Heeft iemand een idee waarom er dan wel een arp request gestuurd word als ik sniffer in het 192.168.2.0/24 netwerk. (dit gebeurt echter alleen wanneer ik de volgende route heb,
192.168.1.0 255.255.255.0 Vlan 1 (192.168.2.1). Wanneer ik de route van CyBeR gebruik dan geeft hij deze niet.

Als ik het kijk naar (Static route) en ik reflecteer dat op mijn situatie dan zie ik in dat er 192.168.2.2 moet staan.

Er vanuitgaande dat ik dat nu gewijzigd heb. Dan probeer ik logisch te redeneren waarom het niet werkt. Hoe weet mijn router welke route hij moet kiezen om het door te sturen naar 192.168.2.2 (aangegeven in de route). Ik heb immers alle 8de lan poortjes in 1 vlan hangen.

Zie ik door de routes het eindpunt niet meer?

CyBeR schreef op maandag 28 januari 2008 @ 19:31:
[...]


Omdat je cisco in dat geval ingesteld is dat 192.168.1.0 in het lokale netwerk (direct aangesloten) bereikbaar is. Dat is niet zo, dus kun je arpen wat je wilt: een antwoord ga je niet krijgen (tenzij met Proxy ARP maar als routing niet werkt, dan proxy arp ook niet).*


[...]


VLANs hebben hier weinig mee te maken op het moment dat je maar 1 vlan gebruikt.

Het gaat er om dat vanaf je cisco 192.168.2.2 bereikbaar is, vanaf je VPN clients idem en vanaf je win2k doos je cisco (192.168.2.1) en je vpn clients. Dan heb je dat deel goed ingesteld. Om nu te zien of je routing naar je gewone pc's goed is: kijk of vanaf een van die pc's je cisco bereikbaar is en vice versa. Ik gok van niet. Dan komt het er dus gewoon op neer dat je win2k pc niet goed routeert. Je zegt al dat 't een proxy is: dat je websites kunt bereiken betekent niet dat 'ie routeert he..

*) Op Ethernet-niveau ziet een packet dat naar een Proxy ARP'ed adres gaat er exact hetzelfde uit als een packet dat direct geroute wordt via het IP dat daarbij hoort.

Ik heb de volgende routes getest.
ping van 192.168.1.15 (intern pc) naar 192.168.2.1 (router) Werkt
ping van 192.168.1.15 (intern pc) naar 192.168.4.89(vpn client) Werkt

ping van 192.168.192.168.4.89 (vpn client) naar 192.168.2.1 (router) Werkt.
ping van 192.168.192.168.4.89 (vpn client) naar 192.168.2.2 ("Extern" adres w2k) Werkt.
ping van 192.168.192.168.4.89 (vpn client) naar 192.168.1.1 ("Intern" adres w2k) Werkt niet.
ping van 192.168.192.168.4.89 (vpn client) naar 192.168.1.15 (intern pc) Werkt niet.

Van binnen naar buiten functioneerd dus wel, alleen de andere kant op niet.
Het lijkt erop dat hij de terugweg niet goed kan vinden wanner er gepingt wordt van vpn naar intern pc. En dat de boosdoener mijn win2k bak is (aangezien ik wel tot 192.168.2.2 kan pingen. Mee eens?

[ Voor 5% gewijzigd door Verwijderd op 28-01-2008 19:53 ]

CyBeR schreef op maandag 28 januari 2008 @ 19:53:
[...]


Dat klinkt alsof je win2k doos NAT doet ipv normale routing.

Als ik kijk bij RRAS, dan zie ik geen NAT bij de routings protocollen staan.

Kan het nog te maken hebben met mijn isa server? Dat deze de inkomende pakket stopt?
Daar kijk is dus nu even naar.

Ik heb even in mijn config van de isa server gekeken maar alle ICPM pakketen worden ge allowed.

[ Voor 30% gewijzigd door Verwijderd op 28-01-2008 20:17 ]

CyBeR schreef op maandag 28 januari 2008 @ 20:40:
Je had niet gezegd dat 't een ISA doos was Dat zou idd best kunnen. Logischer is nog altijd dat 't NAT doet, gezien ook je ideeën over "intern" en "extern". Als je dat wilt is dat prima (maar dan kom je met geen mogelijkheid van "buiten" naar "binnen"), zo niet moet je dat uitzetten.

Kijk even wat 't source adres is bij een ping naar een vpn client. Als 192.168.1.0/24 dan filter, als 192.168.2.2 dan NAT.

U hebt gelijk. als ik ping naar de vpn client, dan zie ik bij de vpn client dat het ping request afkomstig is van 192.168.2.2. Ik zal moeten kijken of ik nat kan uitschakelen in de isa server.
Ik wil namelijk nog wel kunnen regelen wie wel en wie geen toegang heeft tot het www.

Ja, het werkt tot aan de isa server. Ik ben weer een stukje wijzer geworden.
Hoe Nat uit te zetten of de isa server moet ik nog even bekijken, als dat al uberhaupt gaat op een isa 2000 server.