[2008 R2]NAT verkeer alleen één kant op

Mede tweakers,

Om te beginnen wist ik niet goed welke titel het beste mijn probleem omschreef dus ik hoop dat dit een beetje duidelijk is.

Ik zie iets over het hoofd en kom er niet precies uit wat ik vergeet/verkeerd doe:
Op dit moment heb ik 2 systemen in een testnetwerk staan:

1 x 2008 R2 (DC01) met de rollen: DHCP - DNS - AD en Network Policy & Access Services
1 x 2008 R2 (CL01)

Op de DC01 zitten 2 NIC met de volgende configuratie:

NIC1: (Static)
IP: 91.91.91.2 (extern)
SUBNET: 255.255.255.0
GATEWAY: 91.91.91.1 (extern)
DNS1: 127.0.0.1
DNS2: 91.91.92.1 (extern)

NIC2: (Static)
IP: 192.168.1.1
SUBNET: 255.255.255.0
GATEWAY: <leeg>
DNS1: 91.91.91.2
DNS2: 91.91.92.1

Op de CL01 zit 1 NIC met de volgende config: (DHCP vanaf DC01)

NIC1:
IP: 192.168.1.3
SUBNET: 255.255.255.0
GATEWAY: 192.168.1.1
DNS1: 91.91.92.1
DNS2: 91.91.91.2

Op de DC01 heb ik het NAT Protocol aangemaakt en hierbij de twee NIC's toegevoegd.
Hierbij ingesteld dat NIC1 extern gaat over het internet en NIC2 alleen privé intern.

Hierdoor is het nu mogelijk om vanaf CL01 het internet op te gaan, naar buiten te pingen en beide NIC's van DC01 te pingen.
Echter...vanaf DC01 naar CL01 werkt niet, terwijl dit juist moet gaan werken om via port forwarding etc..rechtstreeks op de CL01 te kunnen komen.

Wat zie ik hier over het hoofd?

Question Mark schreef op woensdag 01 februari 2012 @ 12:34:Verder een algemene opmerking: kan DNS2 (91.91.82.1) wel je ad-records resolven? (aangezien je deze expliciet aangeeft als externe dns).

Daar ga ik niet vanuit aangezien het inderdaad het externe dns ip van het hosting bedrijf is.
Nu lijkt me dat ook niet nodig aangezien de DNS van de CL01 (91.91.91.2) dit wel kan en voor de DC01 natuurlijk gewoon local host als DNS staat. Of begrijp ik je nu verkeerd?

Route table stuur ik je even per DM i.v.m. de IP-adressen die hier in staan.

Mental schreef op woensdag 01 februari 2012 @ 15:15:
Je gebruikt inderdaad niet de dns van je domain controller, big mistake.
Je kunt beter die dns server instellen dat hij alle andere requests forward en al je member servers / clients enkel naar je interne dns server laten praten ivm AD.

in het kort: een server/computer die in een domein hangt die niet met de dns server van dat domein praat = niet functioneel.

Dit is nu aangepast, CL01 heeft als eerste en enigste DNS het IP van NIC2 (DC01).
Dit werkt goed....kan nu alle kanten op werken. Alleen snap niet helemaal goed waarom hij het met dit IP-adres
wel doet, terwijl het vorige IP (91.91.91.2) toegewezen aan NIC1, ook van de DC01 was, deze zit dan toch ook
gekoppeld aan de DNS en AD?

[ Voor 15% gewijzigd door UniPer op 01-02-2012 15:34 ]

Bijna alles werkt het nu goed...alleen de RDP service krijg ik nog niet goed.
Ik heb in de firewall ingesteld dat al het verkeerd wat binnen komt op 91.91.91.2:777 doorgestuurd moet worden
naar 192.168.1.3:3389.

Als ik nu van buitenaf probeer te verbinden met 91.91.91.2:777 dan lukt dit niet.
Vanaf de DC een RDP naar de CL01 is geen enkel probleem.

Ik heb hiervoor gewoon een custom firewall regel aangemaakt voor TCP 777 > 3389

Paul schreef op woensdag 01 februari 2012 @ 15:46:
Staat CL01 "connections from computers running any version of Remote Deskop (less secure)" toe of alleen met NLA?

Staat er een beperking in de scope van "Remote Desktop (TCP-In)"-firewallregel op CL01?

Kun je loggen (Wireshark of zo?) of verkeer wel aan komt op CL01?

De less secure variant staat inderdaad aan en er zijn geen beperkingen in de firewall aanwezig voor het doorlaten van RDP verkeer.

Hieronder een screenshot van een loggin (2 minuten geleden):

Excuus voor het niet tumbnailen van het plaatje maar...zit nu op m'n werk en dat wordt wat lastig nu..

[ Voor 7% gewijzigd door UniPer op 01-02-2012 16:03 ]

Dat heb ik niet aangezet dat hij die niet mee moet nemen...ik zie het nu ineens staan...deze draait nu op de CL01.

Ik heb nu RDP verkeerd eruit gehaald, dus alleen port 3389 en ik krijg onderstaande resultaten, nu ben ik op dit moment natuurlijk ook verbonden via RDP vanaf de DC01:

[ Voor 49% gewijzigd door UniPer op 01-02-2012 16:43 ]

Opgelost!

Na wat Google werk en wat probeer werk heb ik moeten concluderen dat een (simpele) regel in de firewall
van de DC01 niet genoeg is/was om een port forwarding te maken naar de CL01.

De manier om dit in één keer werkend te krijgen blijkt door het openen van een cmd:
netsh interface portproxy add v4tov4 listenport=777 listenaddress=<IP DC01> connectport=3389 connectaddress=<IP CL01>

Nu kan ik dus gewoon connecten via het IP van de DC01 en port 777 met de RDP van de CL01

Allemaal bedankt voor de input...uiteindelijk heeft alles bij elkaar me toch in de juiste richting gekregen!