[Server 2008] DNS DHCP en NAT

Waarom niet gewoon een Pfsense appliance? Gratis, meer mogelijkheden dan RRAS en nog makkelijker in te stellen ook. Je maakt wanneer je buiten het netwerk bent gewoon een VPN verbinding en klaar ben je.

Met alle respect maar volgens mij begrijp je er niet heel veel van als ik eerlijk ben (iets met een klok en een klepel ). Zomaar een paar punten uit je nogal warrige post:

- DNS namen hebben niets te maken met NAT of portforwarding. DNS is enkel bedoelt om domeinnamen te vertalen naar een ip adres of andersom (reverse DNS).
- Domeinnamen die op het hele internet actief zijn moet je ergens registeren en DNS ervoor laten hosten. Beide doe je in een thuis situatie meestal bij een hostingprovider of iets dergelijks.
- DNS namen intern laten resolven naar een door jou gekozen ip adres kun je in vrijwel elke huis tuin en keuken router doen. Dit kan uiteraard ook met een oplossing op basis van Windows Server 2008 of pfSense maar waarschijnlijk heb je dat niet eens nodig en ik betwijfel gezien je post ook of je uberhaupt in staat bent zoiets op te zetten.

djkavaa schreef op maandag 19 december 2011 @ 22:24:
En als jij mij kan vertellen hoe ik tegen mijn Router (TP-Link) Kan vertellen dat als ik binnen kom op VM1.mijndomein.nl via RDP dat hij dan door gaat naar 3389 op mijn VM1 en als ik VM2.mijndomein.nl doe via RDP dat hij dan door gaat naar 3389 op mijn VM2.

Dit is alleen mogelijk door port fowarding en niet door middel van DNS namen en anders dan is dit nieuw?

Vandaar of dit mogelijk is met Server 2008 en de rollen DNS en DHCP

Meer heb ik niet nodig.

Gaat niet.

djkavaa schreef op maandag 19 december 2011 @ 22:24:
Ik ben er zeker tot in staat echter wil ik dat het zo werkt als ik omschreven heb.
Domeinnamen heb ik ook voldoende.
1 hiervan is al met het * doorgestuurd naar mijn IP Adres dus alles wat de DNS van de server niet kent gooit hij door naar mijn thuis IP

*.mijndomein.nl is gewoon een catch all record voor je domein maar waarom je die door wilt sturen naar 'mijn ip adres' (wat je daar dan ook mee bedoelt) is mij een raadsel.

En als jij mij kan vertellen hoe ik tegen mijn Router (TP-Link) Kan vertellen dat als ik binnen kom op VM1.mijndomein.nl via RDP dat hij dan door gaat naar 3389 op mijn VM1 en als ik VM2.mijndomein.nl doe via RDP dat hij dan door gaat naar 3389 op mijn VM2.

Wat jij wilt kan helemaal niet, dat kan niet met je TP-Link router maar ook niet met een Windows Server 2008 / Linux of wat dan ook. Zoiets zou je voor HTTP verkeer nog wel met een proxy kunnen bereiken op layer 7 (http_referer in het http protocol) maar andere protocollen (zoals RDP) bevatten simpelweg die informatie niet op basis waarvan een dergelijke beslissing genomen kan worden.

Dit is alleen mogelijk door port fowarding en niet door middel van DNS namen en anders dan is dit nieuw?

Vandaar of dit mogelijk is met Server 2008 en de rollen DNS en DHCP

Meer heb ik niet nodig.

Ik zou je echt eens gaan inlezen in wat de verschillende begrippen die je roept betekenen en hoe deze in verhouding tot elkaar staan.

Ik gok dat je TP link dingie niet hip genoeg is om dit te kunnen. Om dit goed te laten werken zul je meerdere externe ip adressen moeten hebben om je DNS records naar te laten wijzen.
Voorbeeld:

vm1.domein.nl -> 1.1.1.1
vm2.domein.nl -> 1.1.1.2
vm3.domein.nl -> 1.1.1.3

Door je vm's een extern ip adres te geven en direct aan het internet te hangen (slecht idee) of door de juiste poorten te forwarden in je router gaat dit werken.
Voorbeeld:

1.1.1.1:3389 -> 192.168.1.1:3389
1.1.1.2:3389 -> 192.168.1.2:3389
1.1.1.3:3389 -> 192.168.1.3:3389

Als je deze twee dingen instelt kun je vanaf internet rdp'en op externe DNS naam. Kost je dus wel een publiek IP adres per host.

Andere oplossing: Omdat je het specifiek over RDP hebt kun je ook een RDP gateway inrichten.
Met een dergelijke gateway maak je een verbinding naar je ene publieke ip adres over poortje 443 en zorgt de interne server ervoor dat je op de juiste interne server uitkomt. Dit scheelt je een hele hoop publieke IP adressen en werkt mooi in een thuissituatie.
Voorbeeld:

thuis.domein.nl -> 1.1.1.1

rdp sessie met als doel 192.168.1.1 en TS gateway thuis.domein.nl komt uit op 192.168.1.1
rdp sessie met als doel 192.168.1.2 en TS gateway thuis.domein.nl komt uit op 192.168.1.2
rdp sessie met als doel 192.168.1.3 en TS gateway thuis.domein.nl komt uit op 192.168.1.3

Voor 50 euro heb je een licentie voor een Windows Home Server. Deze is standaard voorzien van een dynamische DNS naam en een bijbehorend third party SSL certificaat. Met iets als DynDNS en StartSSL kun je dit ook voor elkaar krijgen op je 2008 R2 Enterprise machines.
Een ander voordeel van TS gateway is dat men van buitenaf niet kan zien dat er een rdp service beschikbaar is. Dat scheelt een hoop irritant inlogpogingen.

djkavaa schreef op maandag 19 december 2011 @ 22:50:
[...]


Om er voor te zorgen dat ik alle voor voegsels kan gebruiken op mijn webserver die ik thuis draai.

En ik weet zeker dat dit mogelijk is.
Danwel door interne DNS dan wel door Externe DNS.

Tis het zelfde als dat ik intern een aanvraag doe: vm1.lokaledomeinofwatdanook.nl in RDP of welk protocol dan ook, dat deze dan fijn doorgaat naar de juiste pc.

Als ik dit zelfde dus doe met VM1.mijndomein.nl en dat ik bij me hoster instel dat vm1.mijndomein.nl > 32.22.45.554 gaat en dat mijn DNS Server thuis zegt van heej VM1.mijndomein.nl die ken ik dat is 192.168.1.2 nou dan ga je daar fijn heen.

Natuurlijk moet dan het binnen staande domein het zelfde zijn, maar dat is geen probleem.

Tis toch niet zo moeilijk zoals ik het vraag?

Wat jij wil kan alleen met meerdere externe ip adressen. Dan kun je een domein registeren en naar het juiste externe ip dat bij die server hoort verwijzen. Probleem is alleen dat je bij consumenten ISP's vrijwel nooit de mogelijkheid hebt meerdere ip adressen af te nemen. Tenminste niet op IPv4, met IPv6 is je probleem opgelost want dan krijgt elk apparaat een eigen extern ip. Alleen ondersteunen nog niet veel providers dat momenteel dus als het bij je thuis al zou kunnen is externe bereikbaarheid ook nog een probleem.

Via IPv4 en een enkel extern ip kan je het simpelweg niet generiek oplossen, dan ben je afhankelijk van protocol specifieke oplossingen die er voor sommige misschien zijn maar voor veel ook niet.

[ Voor 10% gewijzigd door ik222 op 19-12-2011 23:03 ]

Yup, of je moet met niet-standaard poorten en PAT gaan werken.

djkavaa schreef op maandag 19 december 2011 @ 23:00:
Kijk hier heb ik nu iets aan (thanks aan beide)
Maar is het dan echt niet mogelijk zoals ik het in gedachte heb (kan natuurlijk verkeerd zijn)
Doormiddel van DNS?

En TS gateway heb ik ook over zitten denken maar ik wil ook meerdere protocollen kunnen bereiken.
Dan moet het dus echt via externe IP Adressen.

Nee het kan niet via DNS, daarom zeg ik ook ga je eens verdiepen in wat DNS doet want dan begrijp je ook waarom dit niet kan zoals jij het wilt.

Samengevat heb je deze mogelijkheden:

- Per server andere poorten gebruiken.
- Meerdere externe ip adressen regelen al zal dat op IPv4 meestal lastig of onmogelijk zijn bij consumenten ISP's.
- Applicatie protocol specifieke oplossing gebruiken voor zover dat mogelijk is.
- Tunnelen via bijvoorbeeld een VPN. Als enkel jij zelf toegang moet hebben tot je VM's op alle poorten kan dat een goede oplossing moet zijn. Is uiteraard niet geschikt als je publieke services wilt hosten thuis.

[ Voor 30% gewijzigd door ik222 op 19-12-2011 23:13 ]

Hoezo werkt Logmein Hamachi niet? Kan ik me niet voorstellen, dat werkt echt altijd. Heb je de adapter wel aanstaan?

djkavaa schreef op maandag 19 december 2011 @ 23:00:
Maar is het dan echt niet mogelijk zoals ik het in gedachte heb (kan natuurlijk verkeerd zijn)
Doormiddel van DNS?

Kort antwoord: nee.

Langer antwoord:
Wat je voorstelt is een veelgebruikte optie bij webservers. De reden waarom het wel werkt met een webserver is heel simpel. In het webpagina verzoek wat aankomt bij de webserver staat de url vermeldt die de browser eigenlijk wil hebben. Als ik dus aan jou server vraag om pagina1.domein.nl te serveren via poort 80 krijg ik pagina1.domein.nl terug. Vraag ik pagina2.domein.nl aan dezelfde server, dan krijg ik pagina2.domein.nl.

In het geval van RDP staat er werkelijk niets in het verzoek tot verbinding. Remote Desktop Connection resolved je IP adres eenmalig en de rest van de verbinding werkt op basis van IP adres. Omdat de originele FQDN niet meer ter zake doet tijdens de verbinding kun je er ook niet op filteren/verkeer scheiden.

Om deze reden is TS gateway zo gaaf: in de SSL tunnel gaat de originele aanvraag juist wel mee waardoor je op je TS gateway server het verkeer kunt scheiden.

Zelf heb ik dit 'probleem' opgelost met SSH tunneling. Doordat ik bij het opbouwen van de SSH tunnel aan kan geven naar welke interne ip:poort combinatie ik een tunnel wil hebben kan ik op mijn router een enkele poort open zetten en toch het volledige interne netwerk bereiken. De 'portforward/tunnel' wordt immers aan mijn kant bepaalt en niet door de router thuis.

Edit: mijn ervaringen met SSH/putty over poort 443 zijn erg goed. Werkt vrijwel overal.

Het is imho al jammer dat je bij mijn post waarbij ik PfSense aandraagt zegt ja ik heb PfSense overwogen en zegt dat je met namen wil werken, waarbij je insinueert dat iets niet kan wat met windows server wel kan. Hoewel wat jij bedacht had dus gewoon niet kan werken, zeg je op basis lucht dat iets niet kan.
VPN is de mooiste oplossing die je hiervoor kan gebruiken, je kan op elke windows machine met 4 muisklikken een VPN opbouwen en je kan al je bronnen bereiken alsof je in het netwerk zelf bent en dan is al het verkeer nog encrypted ook. Daar komt dan nog eens bij dat RRAS gewoon *ahum* vrij irritant is om te beheren en niet half zo goed is als een pfsense appliance. Tel daar de mogelijkheden die PfSense je bieden bij op..
Een remote desktop gateway lost inderdaad je casus wel gedeeltelijk op, echter ben je dan dus beperkt tot het opzetten van een RDP sessie waar je met VPN dus ook bij je SMB shares etc. kan.

[ Voor 25% gewijzigd door moppentappers op 20-12-2011 00:39 ]

Yep RDP gateway, dat is de mooie oplossing.

Wil je snel en cheapass?

Waar draaien die VM's op? Zelf heb ik bijv. Hyper-V Server draaien en daarnaartoe de portforward gedaan.
Vanaf de Hyper-V open ik dan een nieuwe RDP sessie naar de uiteindelijke VM.

Hoewel by default de MSTSC.EXE niet op Hyper-V server geïnstalleerd is, kun je deze en enkele DLL's kopiëren vanaf een andere Server 2008 installeren en klaar ben je.

djkavaa schreef op maandag 19 december 2011 @ 22:50:
Als ik dit zelfde dus doe met VM1.mijndomein.nl en dat ik bij me hoster instel dat vm1.mijndomein.nl > 32.22.45.554 gaat en dat mijn DNS Server thuis zegt van heej VM1.mijndomein.nl die ken ik dat is 192.168.1.2 nou dan ga je daar fijn heen.

Dit heet split DNS, en kan. Voordat je gaat staan juichen: het is alleen de naam-omzetting. Mensen die bij je DNS server thuis namen opvragen (dat zijn dus alleen je interne machines!) gaan netjes het interne IP-adres krijgen. Mensen die het bij je provider opvragen krijgen jouw ene externe IP-adres en komen nooit aan je interne DNS-server vragen wat deze denkt dat het IP-adres moet zijn.

Dat zou ook een beetje nutteloos zijn, aangezien je interne adressen op internet niet bruikbaar zijn (ze worden niet gerouteerd, het zijn interne adressen).

Split-DNS is vooral handig om diensten die voor de hele wereld te bereiken zijn onder dezelfde naam intern beschikbaar te maken zonder dat je dan via je router moet (die daarvoor NAT loopback moet hebben).

Zonder een vorm van proxy zul je nooit voor elkaar krijgen dat je op één ip/poort-combinatie naar meerdere machines kunt verbinden. Ik denk dat een proxy installeren en configureren meer werk is (al valt specifiek TS gateway wel mee) dan gewoon per VM een paar port-forwards aanmaken

Als je daar 2 nics in hebt zitten zou je dus al een VPN server op je vmware machine kunnen zetten en dan zit je het dichtstbij dat wat praktisch haalbaar is.