Frage zu Routen etc.

[Xo-mate]

Hi

Ich soll in der Firma einen speziellen PC permanent übers Internet erreichbar machen. Dies ist kein Server, jedoch ist er trotzdem immer an. Er selbst hat keinen direkten Anschluss ans Internet, aber der Server im Netzwerk hat.

Meine Idee war, dass man eine Route setzt, die über den Server an diesen PC geht. Ich habe mich, bevor ich das machen sollte, noch nicht wesentlich mit diesem Thema beschäftigt und auch im Internet habe ich keine sehr ausführlichen Hilfen zu diesem Thema gefunden (wer eine hat, immer her damit...).

Meine Frage dabei: geht das so ohne weiteres? geht das auch ohne, dass ein direkter Zugriff auf den Server erfolgt? (was ich damit meine ist, dass der server über Port soundso eine Anfrage bekommt und die automatisch an den PC weitergeleitet wird)

Oder gibt es gar ganz andere bessere Alternativen?
Auf den Server (nicht den PC) selbst sollte keinerlei Zugriff direkt möglich sein (sprich Remotedesktop oder ähnliches)! Der PC selbst soll aber gerade so erreichbar sein.

 

[port29]

Hi,

um dir deine Frage zu beantworten, muss man zunächst wissen, wie die Netzwerkstruktur aussieht. Denn so einiges habe ich dort nicht wirklich verstanden.

Zunächst einmal das aller wichtigste: Wie geht das Netzwerk ins Internet? Ist da ein Router angeschlossen oder stellt der Server eine Verbindung her und übernimmt das NATing? Unter welchem OS läuft denn der Server?

Also eigentlich ist sowas recht einfach umsetzbar. Wenn du keinen Router hast, dann kaufst du dir einen. Für 50-70€ gibt es z.B. den WRT-54GL. Mit diesem Router kannst du dann bestimmte Ports auf bestimmte IP Adressen im Netzwerk weiterleiten. Über Dynamic DNS Dienste holst du dir einen Hostnamen, über den immer die aktuelle IP des Netzwerkes erreichbar ist. Und schon hast du das, was du haben möchtest.

 

[Xo-mate]

Wir haben einen Router bzw. eine Firewall (Cisco Pix). Ich weiß jedoch nicht, ob man da wie bei einem normalen Router auch Portforwarding einstellen kann, da ich die Zugangsdaten zu dem Ding nicht habe (ich bin jetzt seit 3 Monaten dort und bis jetzt hatten die jede Menge Firmen, die da am Netzwerk rumgefuscht haben => viele Köche verderben den Brei. Daher wissen selbst die Chefs oft nicht wirklich wer von denen was weiß.)
Wir haben des weiteren eine statische IP, in sofern fällt das mit den dynamischen IPs weg.
Auf dem Server läuft Windows Server 2003, auf dem anderen PC WinXP SP2.
der XP-Rechner ist phyikalisch von dem Netzwerk getrennt, welches ins Internet kann. Der Server hat 2 Netzwerkkarten, über die er zum einen ins Internet und zum anderen in unser Netzwerk geht. Auch da würde das Portforwarden nicht funktionieren.

 

[port29]

Guten morgen

Also zunächst einmal: Die Cisco PIX ist eine Firewall aber auch auch (imho. überteuerter) Router. Hab schon lange nichts mit den Dingern gemacht, aber afaik kannst du dort Portforwarding mit static (inside,outside) einrichten. Aber das hat sich auch erledigt, da der Rechner ja nicht im gleichen Netzwerk ist, wie die PIX.

Eine Sache noch, die mir noch nicht ganz klar ist: Kann man am XP Rechner irgendwie "surfen"?

 

[Xo-mate]

Nein, nur wenn ich ihn physikalisch am Patchfeld umsteckere, was wir nur tun, wenn da gerade mal n Update eingespielt werden muss oder irgendetwas andere gemacht werden muss, wozu Internet erforderlich ist.

Aber im Standartbetrieb hat der Rechner keine Chance irgendwie selbstständig ins Internet zu kommen geschweige denn das man damit Surfen kann.
Desswegen wollte ich das ja über den Server laufen lassen und eine Route dem entsprechend einrichten (sofern das ohne größere Probleme überhaupt geht). Sprich der Server soll die port-forwarding-funktion des Routers übernehmen.

 

[port29]

Hmm ja... das könnte jetzt etwas schwieriger werden.

Ich bin zwar kein Windows Admin, aber ich glaube nicht, dass man mit dem Windows Routing eine Route tatsächlich so verbiegen kann. Eine andere Möglichkeit wäre es, auf dem Server eine Portweiterleitungssoftware zu installieren und dann so den Port weiterzuleiten. Das wäre aber nur die aller letzte Option, die ich verwenden würde. Denn es ist weder optimal noch sicher. Ich weiß nicht, wie euere Phillosophie ist, aber meine ist, dass der Server eines Netzwerks die Ressource ist, die am meisten geschützt werden muss.

Auf den ersten Blick ist das Netzwerk für solche Anwendungsfälle nicht optimal ausgelegt worden. Wenn es dir darum geht, dass die Rechner auf der Internetseite (z.B. die Büros) von der wichtigen Seite (z.B. die Produktion) getrennt sind, dann würde ich dir ebenso zu dem o.g. Router raten. Dann ist das äußere Netzwerk mit der PIX und dem Server die WAN Seite, der dest ist LAN. Mit ihm richtest du zunächst eine Firewall ein, die alle Zugriffe von der WAN Seite blockiert. Ebenso von der LAN Seite zur WAN. Somit hast du den gleichen Zustand erreicht, wie mit dem Windows Server. Damit du vom dem LAN auf den in WAN stehenden Server zugreifen kannst, richtest du eine Regel ein, dass alle (oder nur bestimmte) Hosts im LAN auf den Port 139 der IP xxxxx im WAN zugreifen dürfen.

Damit der XP Rechner nun von außen erreichbar ist, gibt es zwei Möglichkeiten:

a) Du richtest auf der PIX dann ein Portforwarding zu dem neuen Router ein und von dem Router dann zum Rechner

b) Du holst dir für 3€ / Monat einen VServer und richtest darauf einen VPN Server ein. OpenVPN ist dafür recht gut geeignet. Der XP Rechner ist dann ein Client dieses Netzwerks, genauso wie der Rechner, der sich mit ihm verbinden will.

Die Möglichkeit b) ist zwar die Aufwändigere, aber durchaus die sicherere, da sich ein Client zunächst einmal am VPN Authentifizieren muss, um sich dann mit dem eigentlichen Netzwerk verbinden zu können.

 

[Xo-mate]

hmmm... das das so kompliziert wird, habe ich nicht gedacht.
Mir fällt aber gerade ein, dass eine der Firmen sich öffters bei uns einloggt und sich auf jeden beliebigen PC einklinken kann.
Vielleicht sollte ich da mal anfragen, wie die das machen. Möglicherweise ergibt sich daraus ja auch eine Lösung.

 

[port29]

Naja ohne den genauen Netzwerkaufbau zu kennen, ist es schwer da etwas genaues zu sagen. Meine Lösung ist nur eine Möglichkeit, so würde ich das Netzwerk aufbauen.

Was die andere Firma wahrscheinlich macht, ist dass die sich per Remote Desktop erst einmal auf dem Server einloggen und anschließend per zweitem Remote Desktop auf die dahinter sitzenden Rechner gehen. Es wäre z.B. auch möglich auf dem Windows Server VMware aufzuspielen und darüber einen Linux Router laufen zu lassen, über den dann die anderen Rechner erreicht werden.

Möglichkeiten gibt es viele, es bleibt jedoch dir überlassen, was du verwendest. Alle Möglichkeiten haben Vor- und Nachteile.