Wat ik probeer te bereiken
Ik heb een Win2k8 server die dienst doet als webserver in een testomgeving. Om toegang te krijgen tot deze server is de (PPTP) VPN server aangezet (via de simpele versie in 'network connections'). Gebruikers kunnen dus met een simpele VPN verbinding toegang krijgen tot de testomgeving waarna ze een intern IP adres krijgen in dezelfde range als de webserver en dit werkt in de praktijk prima.
We willen deze omgeving echter ook gaan gebruiken voor demonstraties/workshops op externe locaties en dan moeten er meerdere gebruikers tegelijkertijd toegang krijgen. Als deze gebruikers dan een extern IP delen (wat vrijwel altijd zo is) dan werkt dat uiteraard niet omdat de VPN server maar 1 extern IP ziet.
Mijn idee was om een simpel proxy/gateway servertje te maken wat de VPN connectie opzet en al het netwerkverkeer doorstuurt naar een 2e netwerkkaart. Door een switch aan te sluiten op de 2e netwerkkaart hoeven de gebruikers niet zelf een VPN tunnel op te zetten, maar wordt alles automatisch gerouterd door de VPN tunnel op de gateway en zitten de gebruikers direct op het netwerk; een zgn LAN-to-LAN connectie dus.
Schematisch heb ik dus dit in gedachten:
Web server ---- VPN tunnel ---- gateway/proxy -- switch -- gebruikers
Aangezien er geen budget is wil ik een oud Windows2000 servertje inzetten voor dit doel.
De 'WAN'-NIC op de gateway wil ik gewoon via DHCP een IP laten krijgen. Er vanuit gaande dat VPN tunnels kunnen worden opgezet op de locatie (randvoorwaarde in het hele verhaal, dus geen onderdeel van de oplossing) moet de gateway dan de VPN tunnel opzetten over deze verbinding en al het netwerkverkeer (met name DHCP) 1 op 1 doorsturen naar de LAN-NIC.
Het probleem:
Ik krijg het niet voor elkaar
In eerste instantie heb ik een VPN verbinding geconfigureerd in de gateway en deze met ICS laten delen op de LAN-NIC. Als ik echter een client aansluit op de LAN-NIC dan krijgt deze geen IP. De client doet een DHCP request, krijgt een DHCP offer, maar meteen daarna ook een DHCPNAK.
Bovendien geeft deze oplossing een extra NAT translatie wat ik eigenlijk niet wil; ik wil eigenlijk dat clients (net als met een directe VPN tunnel) een intern IP adres krijgen van de DHCP server in de testomgeving.
Daarna ben ik gaan spelen met RRAS. Ik heb diverse opties geprobeerd via de wizard (internet gateway, NAT router) en de VPN tunnel gedefinieerd in RRAS.
Verder heb ik DHCP relay geactiveerd op de LAN-NIC en heb ik een static route aangemaakt die 0.0.0.0 mask 255.255.255.255 doorstuurt naar de VPN tunnel.
Als ik nu een client een IP adres probeer te laten krijgen zie ik wel dat de VPN tunnel wordt opgezet en dat er DHCP requests binnen komen op de LAN-NIC. Er worden echter geen IP adressen uitgedeeld en ook met een statisch IP op de client kan ik de webserver niet bereiken.
Ik ben nu al diverse uren aan het zoeken met combinaties van VPN, windows 2000, router, gateway, LAN-to-LAN, RRAS, enz, enz, maar ik krijg het niet voor elkaar.
Ook heb ik hier op GoT wel diverse topics gevonden met een vergelijkbare vraag, maar daar wordt al snel verwezen naar een hardware (extra router) oplossing.
Verder ben ik geen windows server of netwerk goeroe dus mis ik wat essentiele kennis vrees ik om het zelf te verzinnen ...
Mijn vragen:
1) kan deze oplossing uberhaupt wel ?
2) wat moet ik extra doen in RRAS om het te laten werken ?
3) kan dit simpeler of beter met FreeSCO / m0n0wall / ZeroSHELL of zo ?
Ik heb een Win2k8 server die dienst doet als webserver in een testomgeving. Om toegang te krijgen tot deze server is de (PPTP) VPN server aangezet (via de simpele versie in 'network connections'). Gebruikers kunnen dus met een simpele VPN verbinding toegang krijgen tot de testomgeving waarna ze een intern IP adres krijgen in dezelfde range als de webserver en dit werkt in de praktijk prima.
We willen deze omgeving echter ook gaan gebruiken voor demonstraties/workshops op externe locaties en dan moeten er meerdere gebruikers tegelijkertijd toegang krijgen. Als deze gebruikers dan een extern IP delen (wat vrijwel altijd zo is) dan werkt dat uiteraard niet omdat de VPN server maar 1 extern IP ziet.
Mijn idee was om een simpel proxy/gateway servertje te maken wat de VPN connectie opzet en al het netwerkverkeer doorstuurt naar een 2e netwerkkaart. Door een switch aan te sluiten op de 2e netwerkkaart hoeven de gebruikers niet zelf een VPN tunnel op te zetten, maar wordt alles automatisch gerouterd door de VPN tunnel op de gateway en zitten de gebruikers direct op het netwerk; een zgn LAN-to-LAN connectie dus.
Schematisch heb ik dus dit in gedachten:
Web server ---- VPN tunnel ---- gateway/proxy -- switch -- gebruikers
Aangezien er geen budget is wil ik een oud Windows2000 servertje inzetten voor dit doel.
De 'WAN'-NIC op de gateway wil ik gewoon via DHCP een IP laten krijgen. Er vanuit gaande dat VPN tunnels kunnen worden opgezet op de locatie (randvoorwaarde in het hele verhaal, dus geen onderdeel van de oplossing) moet de gateway dan de VPN tunnel opzetten over deze verbinding en al het netwerkverkeer (met name DHCP) 1 op 1 doorsturen naar de LAN-NIC.
Het probleem:
Ik krijg het niet voor elkaar
In eerste instantie heb ik een VPN verbinding geconfigureerd in de gateway en deze met ICS laten delen op de LAN-NIC. Als ik echter een client aansluit op de LAN-NIC dan krijgt deze geen IP. De client doet een DHCP request, krijgt een DHCP offer, maar meteen daarna ook een DHCPNAK.
Bovendien geeft deze oplossing een extra NAT translatie wat ik eigenlijk niet wil; ik wil eigenlijk dat clients (net als met een directe VPN tunnel) een intern IP adres krijgen van de DHCP server in de testomgeving.
Daarna ben ik gaan spelen met RRAS. Ik heb diverse opties geprobeerd via de wizard (internet gateway, NAT router) en de VPN tunnel gedefinieerd in RRAS.
Verder heb ik DHCP relay geactiveerd op de LAN-NIC en heb ik een static route aangemaakt die 0.0.0.0 mask 255.255.255.255 doorstuurt naar de VPN tunnel.
Als ik nu een client een IP adres probeer te laten krijgen zie ik wel dat de VPN tunnel wordt opgezet en dat er DHCP requests binnen komen op de LAN-NIC. Er worden echter geen IP adressen uitgedeeld en ook met een statisch IP op de client kan ik de webserver niet bereiken.
Ik ben nu al diverse uren aan het zoeken met combinaties van VPN, windows 2000, router, gateway, LAN-to-LAN, RRAS, enz, enz, maar ik krijg het niet voor elkaar.
Ook heb ik hier op GoT wel diverse topics gevonden met een vergelijkbare vraag, maar daar wordt al snel verwezen naar een hardware (extra router) oplossing.
Verder ben ik geen windows server of netwerk goeroe dus mis ik wat essentiele kennis vrees ik om het zelf te verzinnen ...
Mijn vragen:
1) kan deze oplossing uberhaupt wel ?
2) wat moet ik extra doen in RRAS om het te laten werken ?
3) kan dit simpeler of beter met FreeSCO / m0n0wall / ZeroSHELL of zo ?
Just because I'm paranoid, doesn't mean they're not watching me