Folgendes Szenario während der Umstellung einer Serverumgebung:
Wir setzen einen SBS 2003 Server mit zwei NICs und ISA Server 2004 ein.
Der erste NIC 1 für das INTRANET im Segment 10.0.0.x leitet über NIC 2 im Segment 192.168.1.x und den ISA-Server den Internet-Traffic an den Router 192.168.1.254.
Läuft alles wunderbar!
Jetzt haben wir durch die Umstellung einen zweiten Internetzugang: Router: 10.0.0.254 für den Eingang mehrerer VPN-Verbindungen und dem Ausgang aus dem 10.0.0.x INTRANET ins "schnelle Internet". Auch das funktioniert!
Bei den VPN-Verbindungen kommt es jedoch zu einem Probelem!
In einem VPN-Standort 192.168.10.x besteht die Verbindung per VPN-Tunnel zum 10.0.0.x-Netz des zusätzlichen Firmenrouters.
Am VPN-Standort haben wir entsprechende HOST-Tabellen um auf die Server am Firmenstandort im Netz 10.0.0.x zu gelangen. Im Firmennetz haben wir allen Systemen eine statische Route hinzugefügt "route add -p 192.168.10.0 mask 255.255.255.0 10.0.0.254", die von Haus aus nicht den Gatewayeintrag 10.0.0.254 enthalten.
Damit können wir vom 192.168.10.x-Segment alle Systeme im 10.0.0.x-Segment mit route anpingen und eine Antwort zurückerhalten, bzw. Daten austauschen.
Was nicht geht, ist jedoch, dass der SBS Server als Domänencontroller auf den ping an 10.0.0.1 antwortet, sondern eine Antwort wegen einer "gespooften Adresse 192.168.10.100" über den ISA-Server verwirft.
Nach unserem Verständnis sollte es aber richtig sein, nur die Route zu definieren, um die Außenstelle erreichen zu können.
Wo haben wir unseren Denkfehler?
mfg
jf